Rhysida: новая группа вымогателей, атаковавшая Британскую библиотеку 💻🛡️

На прошлой неделе мир кибербезопасности пополнился новым именем — группой Rhysida, которая взяла на себя ответственность за кибератаку на Британскую библиотеку. После инцидента персональные данные, похищенные из системы учреждения, появились на продаже в интернете.

Хотя название группы относительно новое, сама схема атаки известна давно. Вымогатели заражают компьютеры организации вредоносным ПО и требуют выплату, чаще всего в криптовалюте, чтобы разблокировать файлы. В последние годы распространённым стало явление, называемое «двойное вымогательство»: помимо блокировки данных, преступники угрожают их публичной публикацией, чтобы усилить давление на жертву.

Как действует Rhysida ⚡

Группа опубликовала изображения личной информации, похищенной из Британской библиотеки, и выставила данные на продажу на своём сайте, начиная с 20 биткойнов (примерно £590,000). Эксперты называют это классическим примером двойного вымогательства.

Rhysida известна не только в Великобритании: атаки были зафиксированы в государственных учреждениях Португалии, Чили и Кувейта. В августе группа атаковала американскую медицинскую сеть Prospect Medical Holdings. По данным американских ведомств, с мая 2023 года Rhysida использует «вымогательское ПО как услугу» (RaaS), предоставляя вредоносное ПО другим преступникам и деля полученную прибыль.

История и происхождение 📜

Хотя имя Rhysida недавно появилось в публичном поле, эксперты считают, что группа ведёт деятельность с 2021 года под другим брендом — Gold Victor, ранее известным схемой Vice Society. Такой ребрендинг обычен среди киберпреступников, когда прежнее имя становится слишком «знаковым» и привлекает внимание правоохранителей.

Конкретная личность участников группы неизвестна, но эксперты предполагают, что большинство из них говорят на русском языке или происходят из стран Содружества Независимых Государств.

Методы проникновения и вымогательства 🕵️‍♂️

Rhysida использует VPN организаций для удалённого доступа сотрудников или классические фишинговые атаки — письма с ссылками, которые скачивают вредоносное ПО или крадут пароли. После проникновения преступники обычно остаются в системе неприметно некоторое время.

Оплата выкупа чаще всего осуществляется в криптовалюте, например биткойне. Это удобно злоумышленникам, так как транзакции децентрализованы, а платежи трудно отслеживать. Примечательно, что письма с требованиями имеют заголовок «CriticalBreachDetected» и включают уникальный код для связи через специализированный браузер, обеспечивающий анонимность.

Реакция и предупреждения ⚠️

В Великобритании выплата выкупа не запрещена, но настоятельно не приветствуется, если нет подозрений, что деньги пойдут на преступные цели. Национальный центр кибербезопасности предупреждает: «Правоохранительные органы не поддерживают и не одобряют выплату выкупов».

В США аналогичные рекомендации публикуются Министерством финансов: выплата выкупов не поощряется, но формально не запрещена законом.

По данным британской компании Sophos, средние суммы выплат вымогателям растут и за последний год почти удвоились, достигнув £1,2 млн. В условиях роста киберугроз новые «бренды» вымогателей, такие как Rhysida, продолжат появляться. 💻🔐