Відомий своїми фішинговими атаками та експлуатацією легітимних інструментів кібербезпеки, Rhysida стверджує, що вразила Медичний центр Bayhealth, який обслуговує центральну та південну частини Делаверу.
ЧОМУ ЦЕ ВАЖЛИВО
Представивши скріншоти вкрадених паспортів та посвідчень особи як доказ, група Rhysida вимагала від неприбуткової лікарні Bayhealth сплатити викуп протягом тижня, щоб уникнути витоку, згідно з звідом четверга в Security Affairs.
"Залишилося лише 7 днів, скористайтеся можливістю зробити ставку на ексклюзивні, унікальні та вражаючі дані," оголосила Rhysida на своєму сайті витоків у Tor у середу.
"Відкрийте свої гаманці та будьте готові купити ексклюзивні дані. Ми продаємо лише одній руці, без перепродажу, ви будете єдиним власником!"
Ми зв'язалися з Bayhealth і оновимо історію, якщо буде надано заяву.
БІЛЬШИЙ ТРЕНД
Хоча група не має явних зв'язків з іншими групами-вимагачами, вона уникає націлювання на країни колишнього Радянського Союзу або блоку та країни Центральної Азії, згідно з попередженням Центру координації кібербезпеки охорони здоров'я від серпня 2023 року.
HC3 зазначив у попередженні, що, крім атак соціальної інженерії, група експлуатує відомі вразливості в програмному забезпеченні на скомпрометованих системах після першого розгортання Cobalt Strike або інших фреймворків, подібно до Black Basta. PDF-документи, які залишає група, написані так, щоб надати досвід обслуговування клієнтів.
Rhysida також стверджувала, що здійснила кібератаку на Prospect Medical Holdings у Лос-Анджелесі, що призвело до порушення медичного обслуговування в лікарнях та медичних центрах у Коннектикуті та в кількох інших штатах того місяця.
Потім у листопаді Федеральне бюро розслідувань та Агентство з кібербезпеки та безпеки інфраструктури видали спільне попередження з кібербезпеки, в якому вказується, що група орендує інструменти через модель розподілу прибутку.
ОФІЦІЙНО
"Актори Rhysida, як повідомляється, займаються 'подвійним викупом' [T1657] – вимагаючи плату за викуп для дешифрування даних жертви та погрожуючи опублікувати чутливі ексфільтровані дані, якщо викуп не буде сплачено," зазначили FBI та CISA у своєму попередженні.
Андреа Фокс є старшим редактором Healthcare IT News. Email: afox@himss.org Healthcare IT News є публікацією HIMSS Media.
Форум з кібербезпеки HIMSS заплановано на 31 жовтня - 1 листопада у Вашингтоні, округ Колумбія. Дізнайтеся більше та зареєструйтеся.
