Rhysida勒索家族分析报告

文章预览

一、概述 ‍ ‍ ‍ ‍ Rhysida勒索团伙以使用数据窃取+数据加密的双重勒索方式而闻名，其活动自2023年5月以来逐渐引起关注，并被多家安全厂商所披露。通过其对外网站显示，该团伙至今已经攻击了108个目标，包含教育、医疗、政府等。 近日，奇安新病毒响应中心通过猎鹰平台发现Rhysida勒索团伙特有的Rhysida家族样本仍处于活跃状态。Rhysida家族最早出现于2023-05-17，由MalwareHunterTeam 安全团队首次披露。该家族样本使用 ChaCha20 算法对目标文件进行加密，被加密的文件后缀名为“.rhysida”。其会在加密受害者文件后投放名为 “CriticalBreachDetected.PDF”的勒索信，并在启动后修改系统卓面背景，显示勒索信息。比较独特的是，勒索信中该团伙伪装自称是一个 "网络安全团队"，旨在帮助受害者保护他们的网络安全。 目前，集成了奇安信勒索防护模块天擎产品 ………………………………