Группа Rhysida грозится раскрыть тайны китайской энергетики

Китайская компания China Energy Engineering Corporation (CEEC), занимающая ведущие позиции в энергетической и инфраструктурной отраслях страны, стала жертвой киберпреступников. Группа вымогателей Rhysida объявила о взломе систем корпорации и утечке чувствительной информации.

Согласно заявлению хакеров в сети Tor, они намерены выставить «впечатляющие данные» на аукцион со стартовой ценой в 50 биткоинов. Если покупатель не найдется, украденные файлы будут опубликованы в открытом доступе через семь дней после объявления.

CEEC участвует в разработке и реализации множества проектов. В том числе поддерживает инициативы в области угольной промышленности, гидроэлектростанций, ядерной энергетики и технологий, основанных на возобновляемых источниках энергии.

Это далеко не первый инцидент с участием Rhysida. С мая 2023 года группа атаковала не менее 62 компаний в различных секторах, включая образование, здравоохранение, производство, информационные технологии и государственный сектор. Одной из последних жертв стала Британская библиотека .

ФБР и агентство CISA выразили беспокойство по поводу нарастающей активности Rhysida. 15 ноября, в рамках кампании #StopRansomware, было опубликовано совместное предупреждение , содержащее информацию о методах и техниках, применяемых группировкой, а также о признаках возможной компрометации, на которые компаниям следует обращать особое внимание.

Хакеры используют внешние сервисы удалённого доступа, такие как VPN и RDP, для первоначального проникновения в сеть цели, а также эксплуатируют критические уязвимости, в том числе Zerologon в протоколе Netlogon Remote Protocol компании Microsoft.

Отчёт также указывает на сходство действий Rhysida с другими известными бандами, например, с Vice Society. Было подтверждено, что участники группы действуют в рамках модели «ransomware-as-a-service» (RaaS), предоставляя коллегам- киберпреступникам инструменты и инфраструктуру для управления вымогательским ПО на условиях разделения прибыли.