✅ レポートタイトル：ランサムウェア「Rhysida」に関するレポート

✅ レポートの要約：

ランサムウェア「Rhysida」は、2023年5月に海外のセキュリティ研究チーム「MalwareHunterTeam」によって初めて発見され、6月に当該アクターのリークサイトにおけるチリ軍のドキュメント関連の流出投稿で注目を集め始めました。

その後、アメリカの病院、医療機関をターゲットに攻撃が続き、米保健福祉省（HHS）はランサムウェアグループ「Rhysida」を医療機関を標的とする重大な脅威としてレポートを公開しました。

📌 最近の問題は次のとおりです。

- （2024年10月9日）Recorded Futureが「Rhysida」の新たな攻撃手法を公開
- （2023年12月21日）KISAでランサムウェア「Rhysida」復号化ツールを公開
- （2023年8月4日）米保健福祉省（HHS）がランサムウェア「Rhysida」に関するレポートを公開
- （2023年6月15日）チリ軍のデータがリークサイトに流出
- （2023年5月17日）ランサムウェア「Rhysida」が初めて発見される

📌更新履歴は次のとおりです。

- （2024年11月7日）Recorded Futureが公開したコンテンツを更新
- （2023年1月2日）KISAが開発した復号化ツールに関する問題を更新
- （2023年12月12日）TTPs アップデート
- （2023年8月11日）Quick Overview of Rhysida

📌 ランサムウェア「Rhysida」の主な特徴

- 2023年5月26日にチリ陸軍の内部関係者であるランサムウェア「Rhysida」運営者によって攻撃が実行され、ネットワーク内の約36万件（30%）のドキュメントが窃取・流出。
- 「LockBit」は攻撃の選定に倫理基準を設けているが、「Rhysida」は倫理的要素を考慮せず、病院や葬儀サイトも対象とする。
- Check PointとProdaftによると「Rhysida」と「Vice Society」間に関連性。
- 「Rhysida」登場後、「Vice Society」の活動が減少。
- 攻撃対象は教育部門など共通点あり。
- TTPの類似性も顕著。
- NTDS.ditのバックアップを「**temp_l0gs**」フォルダに作成。
- SystemBCボットネット使用とWindows Updateを装うNetFirewallRuleの作成。
- ドメイン内アカウントのパスワード変更後にペイロードを配布。
- 「Vice Society」が使用したPortstarterバックドアと同様のサンプルを発見。
- TypoSquattingやSEO Poisoningで偽装されたCleanUpLoaderダウンロード（Recorded Futureより）。