Rhysida网络犯罪团伙再次证明他们毫无良知,这次他们攻击了致力于帮助残疾人的Easterseals组织,并提出了135万美元的赎金要求。Easterseals是一家历史悠久的慈善医疗组织,为全美残疾人提供社区和家庭服务。该组织于4月份首次报告了这一安全漏洞,并于上周向缅因州总检察长办公室提交了报告。提交文件中附有一封致总检察长的信,信中透露截至10月14日,有14,855人的记录在这次黑客攻击中受到影响。
4月1日,Easterseals经历了网络中断,影响了某些系统的功能和访问,迫使该组织断开所有网络连接。缅因州总检察长办公室的一份声明称:“4月1日,Easterseals遭遇了网络中断,影响了某些系统的功能和访问,迫使该组织断开所有网络连接。”
被盗敏感信息
法医调查发现,10月7日,某些文件被访问,包括含有个人身份信息(PII)的文件,具体包括:
- 个人全名和地址
- 驾驶执照
- 社会安全号码
- 护照信息
- 医疗信息和健康信息
总部位于伊利诺伊州皮奥里亚的非营利组织Easterseals已有100多年的历史,致力于提高残疾美国人的生活质量,这使得Rhysida的赎金要求更加令人愤慨。就在上周,Easterseals还在社交媒体上紧急呼吁为飓风Helene和Milton的受灾残疾人提供灾难救济,这些残疾人因房屋受损而无法获得清洁水、食物和清洁用品。
Aryaka的安全工程和AI战略副总裁Aditya Sood指出,Rhysida已成为医疗、教育和政府等关键领域的重大威胁。“形势的紧迫性不容忽视,”Sood说,并补充说Easterseals很可能因为攻击导致的运营停顿而遭受“严重后果”。
Rhysida泄露网站
鉴于Rhysida的威胁,组织必须迅速响应。实施网络隔离策略,如分割、虚拟局域网(VLAN)隔离、零信任网络访问(ZTNA)和流量过滤至关重要,以限制组织网络内的横向移动,Sood表示。
与俄罗斯有关联的Rhysida团伙本周早些时候发布了20比特币的赎金要求,相当于约135万美元。截至周五,Easterseals还有四天的时间支付这笔赎金,否则敏感文件将被公布或出售给其他犯罪分子。Cybernews能够查看Rhysida提供的样本,并确认其中包含护照、驾驶执照、税表和签署的就业协议等文件。我们已联系Easterseals,但截至发稿时尚未收到回复。
Rhysida的攻击手段
“Rhysida采用了许多成熟的勒索软件技术,如双重勒索模式、勒索软件即服务(RaaS)和加密算法,”Sood说。Sood解释说,Rhysida与其他臭名昭著的克里姆林宫关联勒索软件团伙(如REvil、Drakside、Ryuk和Maze)的区别在于其“显著增强的加密过程”。这使他们能够在不被发现的情况下窃取大量数据,使Rhysida具有高度侵入性和极高的操作效率。
Easterseals表示,自事件发生以来,该组织已实施了新的、更强大的安全控制措施,包括行业领先的端点安全软件、基于云的服务器和多因素认证,以帮助保护其系统免受未来攻击。
通知受害者
除了在10月14日向受影响者邮寄通知外,该非营利组织还进一步提供了12个月的免费信用监控。据Easterseals统计,每四个美国人中就有一个患有某种残疾。该组织提供关键的早期儿童项目、自闭症服务、医疗康复、就业项目、退伍军人服务等。
Rhysida是谁?
与俄罗斯有关联的Rhysida团伙自2023年5月成立以来,已在其暗网博客上声称超过139个受害者。根据去年11月更新的美国国防部对该团伙的档案,该团伙以“机会目标”为目标,渗透了教育、医疗、制造和地方政府等多个领域。该团伙的同名勒索软件被认为是“不复杂”,通常通过网络钓鱼战术或使用Cobalt Strike渗透测试工具寻找漏洞发起攻击。
最近,Rhysida因攻击西雅图-塔科马国际机场而登上头条,该机场因系统中断而被迫手工填写登机牌,影响了包括达美航空、新加坡航空和阿拉斯加航空在内的主要航空公司。
今年夏天,该团伙还袭击了《华盛顿时报》,提出以5比特币的价格拍卖被盗数据。
7月,Rhysida成功攻击了俄亥俄州哥伦布市,导致城市服务中断数周,官方网站重建,并正在进行调查。
之前的受害者包括英国国家图书馆,这是世界上最大的历史知识库,以及芝加哥的安妮和罗伯特·H·卢里儿童医院和美国Prospect医疗集团的医院和医疗设施网络。
(全文结束)
