Rhysida ransomware gebruikt OysterLoader om binnen te dringen
De beruchte Rhysida ransomware-bende voert momenteel een agressieve campagne uit waarbij ze het 'OysterLoader'-malware gebruiken als toegangspoort tot bedrijfsnetwerken. De aanvalsketen, die steunt op misleidende advertenties (malvertising), toont een aanzienlijke investering in middelen en technieken om detectie te omzeilen.
De Rhysida-groep, eerder bekend als Vice Society, richt zich al jaren op grote ondernemingen. Hun nieuwste campagne, die sinds juni van dit jaar loopt, levert het malware – ook bekend als Broomstick en CleanUpLoader – via gesponsorde zoekresultaten op onder andere Bing.
De aanvallers kopen advertenties voor populaire software, zoals Microsoft Teams, PuTTy en Zoom. Deze advertenties leiden potentiële slachtoffers naar overtuigende, maar kwaadaardige downloadpagina's. OysterLoader dient als een zogeheten Initial Access Tool (IAT); het primaire doel is het creëren van een eerste digitale voet aan de grond, waarna een tweede, persistente backdoor wordt geïnstalleerd voor langdurige toegang.
Digitale certificaten
Om detectie door antivirussoftware te minimaliseren, past de Rhysida-bende twee belangrijke tactieken toe:
- Packing/Obfuscatie: De malware wordt gecomprimeerd en versleuteld om de werking te verhullen. Dit zorgt ervoor dat in de beginfase slechts een klein aantal detectie-engines de code herkent.
- Code-signing Certificaten: De criminelen gebruiken geldige, zij het misbruikte, digitale handtekeningen om hun kwaadaardige bestanden een schijn van legitimiteit te geven. Het Windows-besturingssysteem vertrouwt bestanden met een geldig certificaat sneller.
Volgens beveiligingsonderzoekers geeft het gebruik van deze certificaten inzicht in de activiteit van de bende. Zodra een certificaat wordt ingetrokken, wat regelmatig gebeurt, wijst het verschijnen van bestanden met een nieuw certificaat op een doorstart of escalatie van de campagne.
Forse Schaalvergroting
Het aantal gebruikte certificaten toont de schaal van de huidige operatie. Tussen mei en september 2024 gebruikte de bende zeven unieke certificaten. In de huidige campagne (sinds juni 2025) zijn echter al meer dan 40 unieke certificaten waargenomen, wat duidt op een sterk verhoogd operationeel tempo en grotere investeringen.
De bende blijkt ook de Latrodectus-malware te gebruiken voor initiële toegang. In enkele gevallen werden zowel OysterLoader als Latrodectus ondertekend met hetzelfde certificaat.
Bovendien lijkt Rhysida misbruik te maken van Microsoft's Trusted Signing dienst om op grote schaal certificaten met een korte geldigheidsduur (72 uur) te verkrijgen. Microsoft heeft reeds meer dan 200 certificaten die aan de bende zijn gelinkt, ingetrokken.
De cybersecuritygemeenschap verwacht dat de campagne zal doorgaan en blijft de activiteit van de Rhysida-groep nauwgezet volgen.
Meer over malware
Over Witold Kepinski
