Новая группа вымогателей Rhysida стоит за кибератакой на Британскую библиотеку 💻🕵️‍♂️

На прошлой неделе в списке киберпреступников появился новый игрок: группа Rhysida заявила о своей причастности к атаке на Британскую библиотеку. Библиотека подтвердила, что личные данные, похищенные в ходе кибератаки, появились на продажу в интернете.

Хотя имя группы новое, сама схема атаки хорошо известна. Вымогатели используют вредоносное программное обеспечение (malware), чтобы заблокировать доступ к компьютерам организации и требовать выкуп, обычно в криптовалюте. В последние годы появился метод «двойного вымогательства»: преступники одновременно похищают данные и угрожают их опубликовать, что увеличивает давление на жертву.

На этой неделе Rhysida опубликовала изображения похищенных данных в низком разрешении на своём сайте, выставив начальную ставку за информацию в 20 биткоинов (примерно £590 000). Rafe Pilling из компании Secureworks назвал это классическим примером двойного вымогательства.

Британская библиотека стала крупной целью, но Rhysida также атаковала государственные учреждения в Португалии, Чили и Кувейте. В августе группа заявила о нападении на американскую медицинскую компанию Prospect Medical Holdings. Американские органы власти предупредили, что с мая новая разновидность вымогательского ПО использовалась против организаций в сфере образования, IT, производства и государственного сектора.

Rhysida также работает по модели «вымогательство как сервис» (RaaS), сдавая своё ПО другим преступникам и деля выручку. По данным Secureworks, Rhysida вышла из ранее существовавшей группы Gold Victor, которая использовала вирус Vice Society. Переименование является обычной практикой киберпреступников, чтобы уменьшить внимание правоохранителей к прежнему «бренду».

Точная личность участников Rhysida неизвестна, но предполагается, что они, как и многие аналогичные группы, говорят на русском языке и могут быть из стран СНГ. Взломщики используют VPN сотрудников или фишинговые письма, чтобы проникнуть в системы, а затем могут оставаться незамеченными менее суток, что снижает риск обнаружения.

Выкуп обычно требуют в криптовалюте, так как она децентрализована и трудно отслеживается. Сообщения с требованием выкупа Rhysida приходят в PDF-файле под заголовком «CriticalBreachDetected» с уникальным кодом и инструкциями по связи через специальный браузер, обеспечивающий анонимность.

В Великобритании выплаты выкупов не запрещены законом, но настоятельно не рекомендуются. В США также не поощряют такие действия, хотя юридически они возможны.

По данным британской компании Sophos, средняя сумма выплат выкупов за последний год почти удвоилась и достигла £1,2 млн. На этом фоне появление новых «брендов» вымогателей, таких как Rhysida, будет продолжаться. 🛡️💰