Royale Lösegeldforderungen übersteigen 275 Millionen US-Dollar, Umbenennung in Offing

Die Royal-Ransomware-Bande scheint sich auf eine neue Welle von Aktivitäten vorzubereiten, die möglicherweise ein Rebranding oder eine Abspaltung umfassen könnte, da die Lösegeldforderungen der schnelllebigen Gruppe seit ihrer ersten Aktivität im September 2022 nach Angaben der US-Bundesbehörde bereits 275 Millionen US-Dollar überschritten haben Behörden.

Eine gemeinsame Beratung Die vom FBI und der CISA am Dienstag veröffentlichten Berichte deuteten darauf hin, dass die Ransomware-Gruppe – die ohne Tochtergesellschaften operiert und die Daten, die sie den Opfern entzieht, rücksichtslos veröffentlicht – dies weiterhin tut sich schnell weiterentwickeln.

Allein im Jahr seit ihrer Gründung hat die Gruppe bereits mehr als 350 Opfer weltweit auf willkürliche Weise ins Visier genommen – ohne bestimmte Regionen oder Branchen ins Visier zu nehmen – und ein Lösegeld zwischen 1 und 12 Millionen US-Dollar gefordert, so die Behörden. Zu den Opfern zählen bislang Organisationen in kritische Infrastruktursektoren einschließlich Fertigung, Kommunikation, Bildung und Gesundheitswesen; Letztere Angriffe erregten die Aufmerksamkeit des Sicherheitsteams des US-Gesundheitsministeriums (HHS).

Royal, von dem viele Forscher glauben, dass es aus der Asche entstanden ist inzwischen aufgelöste Conti-Gruppe, könnte sich erneut umbenennen als Blacksuit, eine weitere Ransomware, die Mitte des Jahres auftauchte und von Anfang an eine einzigartige Raffinesse zeigte. Dieser Schritt ist möglicherweise auf die verstärkte Kontrolle durch die Bundesbehörden zurückzuführen, nicht nur auf die Untersuchung durch das HHS, sondern auch auf die Folgemaßnahmen ein öffentlichkeitswirksamer Angriff auf die Stadt Dallas im Mai, sagten Beamte.

„Royal bereitet sich möglicherweise auf ein Rebranding und/oder eine Spin-off-Variante vor“, heißt es in der Empfehlung. „Blacksuit-Ransomware weist eine Reihe identifizierter Codierungsmerkmale auf, die denen von Royal ähneln.“

Neue Einblicke in die Ransomware-Operationen von Royal

Insgesamt handelt es sich bei den jüngsten Bundesleitlinien zu Royal um eine Aktualisierung einer Empfehlung der Behörden vom März - wirft ein neues Licht auf die Geschäftstätigkeit der Gruppe und ihre möglichen nächsten Schritte.

Von Anfang an bewies Royal eine Trittsicherheit und Innovationskraft, die wahrscheinlich auf seine frühere Zugehörigkeit zu Conti zurückzuführen war. Die Gruppe betrat die Ransomware-Szene und verfügte über verschiedene Möglichkeiten, Ransomware einzusetzen und der Entdeckung zu entgehen, sodass sie erheblichen Schaden anrichten kann, bevor die Opfer die Möglichkeit haben, zu reagieren. Forscher sagten kurz nach der Entdeckung der Gruppe.

Die neuesten Informationen zu Royal zeigen, dass die Gruppe weiterhin ihre ursprünglichen Taktiken der teilweisen Verschlüsselung und der doppelten Erpressung anwendet. Analysten sagten außerdem, dass Phishing die mit Abstand erfolgreichste Methode sei, das Netzwerk eines Opfers zu kompromittieren. Nach Angaben der Behörden hat es sich in 66.7 % der Fälle über Phishing-E-Mails ersten Zugang zu Netzwerken verschafft.

„Laut Open-Source-Berichten haben Opfer unwissentlich Malware installiert, die Royal-Ransomware verbreitet, nachdem sie Phishing-E-Mails mit schädlichen PDF-Dokumenten und Malvertising erhalten hatten“, sagten die Behörden.

Der zweithäufigste Zugangsweg war bei 13.3 % der Opfer das Remote Desktop Protocol (RDP), und in einigen Fällen nutzte Royal öffentlich zugängliche Anwendungen oder nutzte Broker, um sich durch das Sammeln von VPN-Anmeldedaten (Virtual Private Network) ersten Zugang zu verschaffen und Datenverkehr zu generieren aus Stealer-Protokollen, berichteten die Behörden.

Sobald die Gruppe Zugang zu einem Netzwerk erhält, lädt sie mehrere Tools herunter – darunter legitime Windows-Software und Chisel, ein Open-Source-Tunneling-Tool –, um ihre Position in einem Netzwerk zu stärken bzw. mit Command-and-Control (C2) zu kommunizieren. Royal nutzt außerdem häufig RDP, um sich seitlich über ein Netzwerk zu bewegen, und greift für die Persistenz auf RMM-Software (Remote Monitoring and Management) wie AnyDesk, LogMeIn und Atera zurück.

Entwicklung der teilweisen Verschlüsselung

Das einzigartiger partieller Verschlüsselungsansatz, den Royal verwendet hat Seit ihrer Gründung ist sie weiterhin ein wichtiger Aspekt ihrer Geschäftstätigkeit, wobei die neueste Variante der Ransomware ein eigenes, maßgeschneidertes Dateiverschlüsselungsprogramm verwendet. Die hochentwickelte Teilverschlüsselung von Royal ermöglicht es dem Bedrohungsakteur, einen bestimmten Prozentsatz der Daten in einer Datei zum Verschlüsseln auszuwählen, wodurch der Verschlüsselungsprozentsatz für größere Dateien gesenkt wird und die Gruppe einer Entdeckung entgeht.

Die Gruppe praktiziert auch weiterhin doppelte Erpressung, indem sie Daten vor der Verschlüsselung exfiltriert und dann mit der Veröffentlichung verschlüsselter Opferdaten droht, wenn ihre Lösegeldforderungen nicht erfüllt werden.

„Nachdem sie Zugriff auf die Netzwerke der Opfer erhalten haben, deaktivieren königliche Akteure Antivirensoftware und exfiltrieren große Datenmengen, bevor sie schließlich die Ransomware einsetzen und die Systeme verschlüsseln“, heißt es in der Empfehlung.

Um diese Exfiltration zu erreichen, verwendet die Gruppe legitime Cyber-Penetrationstest-Tools wie Cobalt Strike sowie Malware-Tools und Derivate wie Ursnif/Gozi zur Datenaggregation und -exfiltration und sendet die Daten zunächst an eine US-IP-Adresse, wie die Behörden herausfanden.

Die „königliche Behandlung“ vermeiden

Die Bundeswarnung enthält eine Liste von Dateien, Programmen und IP-Adressen, die mit Royal-Ransomware-Angriffen in Zusammenhang stehen.

Um nicht von Royal oder anderen Ransomware-Gruppen angegriffen zu werden, empfehlen das FBI und die CISA Organisationen, der Behebung bekannter ausgenutzter Schwachstellen Priorität einzuräumen, um es Angreifern zu erschweren, bestehende Schwachstellen in ihren Netzwerken auszunutzen.

Da Royals erfolgreichster Einstiegspunkt Phishing ist, empfehlen die Behörden außerdem, Mitarbeiter zu schulen, um Phishing-Betrügereien zu erkennen und zu melden, damit sie nicht Opfer dieser Betrügereien werden. Den Behörden zufolge ist die Aktivierung und Durchsetzung der systemübergreifenden Multifaktor-Authentifizierung ebenfalls eine wesentliche Verteidigungstaktik.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand