La #RhysidaRansomwareGroup ha recentemente annunciato un attacco informatico alla #ChinaEnergyEngineeringCorporation (CEEC), un'importante azienda energetica di proprietà statale in Cina. Questa società ha un ruolo significativo nel settore dell'energia e delle infrastrutture, partecipando a vari progetti energetici inclusi carbone, idroelettrico, nucleare e iniziative di energia rinnovabile. Questo gruppo di ransomware ha affermato di aver esfiltrato una notevole quantità di dati "impressionanti" e attualmente li sta mettendo all'asta per 50 #Bitcoin (BTC). I dati sono destinati a essere venduti a un unico acquirente, con il piano del gruppo di rilasciare pubblicamente i dati nei sette giorni successivi all'annuncio. Recentemente, anche la #BritishLibrary è stata aggiunta alla lista delle vittime della Rhysida ransomware group sul loro sito di leak su #Tor. In risposta a questi attacchi, l'#FBI e la #CISA hanno emesso un avviso congiunto di #CybersecurityAdvisory (CSA) per avvisare sugli attacchi di ransomware di Rhysida. Questo avviso fa parte dell'iniziativa #StopRansomware, che fornisce informazioni sulle tattiche, tecniche e procedure (#TTPs) e gli indicatori di compromissione (#IOCs) associati ai gruppi di ransomware. Il gruppo di ransomware Rhysida è operativo dal maggio 2023. Secondo il sito di leak Tor del gruppo, almeno 62 aziende sono cadute vittime delle loro operazioni. Il gruppo ha preso di mira organizzazioni di vari settori, tra cui istruzione, sanità, produzione, tecnologia dell'informazione e governo. Le vittime del gruppo sono classificate come "obiettivi di opportunità". L'avviso congiunto afferma che "Gli attori delle minacce che sfruttano il #RhysidaRansomware sono noti per impattare su 'obiettivi di opportunità', inclusi le vittime nei settori dell'istruzione, della sanità, della produzione, della tecnologia dell'informazione e del governo. La reportistica open source dettaglia somiglianze tra l'attività di #ViceSociety (DEV-0832) e gli attori osservati nel dispiegare il ransomware Rhysida". Inoltre, è stato notato che gli attori di Rhysida operano in un modello di #RansomwareAsAService (RaaS), noleggiando strumenti di ransomware e infrastrutture in un accordo di condivisione dei profitti. I riscatti pagati vengono quindi divisi tra il gruppo e i suoi affiliati. Gli attori di Rhysida sfruttano servizi remoti esposti esternamente come #VPN e #RDP per ottenere l'accesso iniziale alla rete target e garantire la persistenza. Hanno utilizzato credenziali compromesse per autenticarsi ai punti di accesso VPN interni. L'avviso nota anche che gli attori delle minacce hanno sfruttato #Zerologon (#CVE-2020-1472) nel Protocollo Netlogon Remote di Microsoft nei loro tentativi di phishing. Si affidano anche a tecniche di #LivingOffTheLand, utilizzando strumenti di amministrazione di rete integrati per eseguire operazioni malevole.