리시다(Rhysida) 랜섬웨어 보고서

Resources

2024.11.22

✅ 보고서 제목:

리시다(Rhysida) 랜섬웨어 보고서

✅ 보고서 요약:

Rhysida 랜섬웨어는 2023년 5월 해외 보안 연구팀인 MalwareHunterTeam에 의해 처음 발견되었으며, 6월에 자신들의 Leak 사이트에 칠레 육군에 대한 문서를 유출하면서 주목을 받기 시작하였습니다. 이후, 미국 내 병원 및 의료 부문을 타겟으로 공격이 지속되자 미국 보건복지부(HHS)는 Rhysida 랜섬웨어 그룹을 의료 부문에 중대한 위협으로 규정하여 보고서를 게시했습니다.

최근 이슈는 다음과 같습니다.

- (2024-10-09) Recorded Future 에서 Rhysida 의 새로운 공격 기법 공개

- (2023-12-21) KISA에서 Rhysida 랜섬웨어 복호화 도구 공개

- (2023-08-04) 미국 보건복지부(HHS)에서 Rhysida 랜섬웨어 보고서 게시

- (2023-06-15) 칠레 육군의 데이터가 Leak 사이트에 유출

- (2023-05-17) Rhysida 랜섬웨어 최초 발견

업데이트 이력은 다음과 같습니다.

- (2024-11-07) Recorded Future 에서 공개한 내용 업데이트

- (2023-01-02) KISA에서 개발한 복호화 도구 관련 이슈 업데이트

- (2023-12-12) TTPs 업데이트

- (2023-08-11) Quick Overview of Rhysida

📌 Rhysida 랜섬웨어의 주요 특징은 무엇인가요?

- 2023년 5월 26일에 칠레 육군의 내부자인 Rhysida 랜섬웨어 오퍼레이터에 의해 공격이 감행 된 것으로 밝혀졌으며 이로 인해 칠레 육군 네트워크에 있는 문서 30%인 36만개의 문서를 탈취 및 유출했습니다.

- LockBit 랜섬웨어 그룹은 타겟을 선정할 때 자체적인 윤리 기준을 세워 공격을 진행하는 반면, Rhysida는 미국에 위치한 장례업 사이트를 공격하는 등 공격 대상 선정에 윤리적인 요소를 고려하지 않았고 실제로 미국 전역에 17개의 병원과 166개의 클리닉에 영향을 미친 Prospect Medical Holdings에 대한 공격을 진행했습니다.

- Check Point와 Prodaft 는 Rhysida 랜섬웨어 그룹과 Vice Society 랜섬웨어 그룹간 연관성을 제시했습니다.

- 2023년 5월, Rhysida 그룹이 등장함과 동시에 Vice Society 랜섬웨어의 활동이 감소했습니다.

- 공격받은 피해 기업 분야에 대해 분석한 결과, Rhysida와 Vice Society의 주요 공격 산업도 교육(Education) 부문으로 상당히 일치합니다.

- Vice Society 그룹과 TTPs가 매우 유사합니다.

- NTDS를 활용하여 NTDS.dit의 백업을 **temp_l0gs**라는 폴더에 생성

- SystemBC 봇넷을 사용하며, Windows Update라는 이름의 New-NetFirewallRule을 사용하여 로컬 방화벽 규칙을 생성

- 내부에 랜섬웨어 페이로드를 배포하기 전, 도메인 내 계정들의 비밀번호를 변경

- Rhysida 인프라를 분석한 결과, Vice Society가 사용한 이력이 있고, 작성된 Portstarter 백도어 샘플 발견

- Recorded Future에 의하면, Rhysida는 TypoSquatting과 SEO Poisoning 기법을 통해 정상 소프트웨어 다운로드 사이트를 위장하여 CleanUpLoader 를 다운로드 합니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 접수해 주세요.

🧑‍💻 보고서 작성자: S2W TALON (2024-11-07 기준)