Η συμμορία Royal ransomware φαίνεται να προετοιμάζεται για μια νέα σειρά δραστηριοτήτων που δυνητικά περιλαμβάνει προσπάθεια αλλαγής επωνυμίας ή spinoff, καθώς οι απαιτήσεις για λύτρα από την ομάδα που κινείται γρήγορα από την αρχική της δραστηριότητα τον Σεπτέμβριο του 2022 έχουν ήδη ξεπεράσει τα 275 εκατομμύρια δολάρια, σύμφωνα με την ομοσπονδιακή κυβέρνηση των ΗΠΑ. αρχές.
Κοινή συμβουλευτική από το FBI και την CISA την Τρίτη ανέφεραν ότι η ομάδα ransomware — η οποία λειτουργεί χωρίς θυγατρικές και ανελέητα δημοσιεύει τα δεδομένα που εξάγει από τα θύματα — συνεχίζει να εξελιχθεί γρήγορα.
Μόλις ένα έτος από την ίδρυσή της, η ομάδα έχει ήδη στοχεύσει περισσότερα από 350 θύματα σε όλο τον κόσμο με αυθαίρετο τρόπο - χωρίς να στοχεύει συγκεκριμένες περιοχές ή βιομηχανίες - απαιτώντας μεταξύ 1 και 12 εκατομμυρίων δολαρίων λύτρα, ανέφεραν οι υπηρεσίες. Μεταξύ των θυμάτων του μέχρι σήμερα περιλαμβάνονται οργανώσεις σε τομείς κρίσιμης υποδομής συμπεριλαμβανομένης της κατασκευής, των επικοινωνιών, της εκπαίδευσης και της υγειονομικής περίθαλψης· επιθέσεις στην τελευταία από τις οποίες επέστησαν την προσοχή της ομάδας ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS).
Royal, το οποίο πολλοί ερευνητές πιστεύουν ότι αναδύθηκε από τις στάχτες του πλέον ανενεργό Conti Group, μπορεί και πάλι να ρυθμιστεί για αλλαγή επωνυμίας ως Blacksuit, ένα άλλο ransomware που εμφανίστηκε στα μέσα του έτους και έδειξε μοναδική πολυπλοκότητα από την αρχή του. Αυτή η κίνηση μπορεί να οφείλεται στον αυξημένο έλεγχο από τις ομοσπονδιακές αρχές, όχι μόνο στην έρευνα από το HHS αλλά και στη συνέχεια επίθεση υψηλού προφίλ στην πόλη του Ντάλας τον Μάιο, δήλωσαν αξιωματούχοι.
«Η Royal μπορεί να προετοιμάζεται για μια προσπάθεια αλλαγής επωνυμίας ή/και μια παραλλαγή spinoff», σύμφωνα με τη συμβουλευτική. "Το ransomware Blacksuit μοιράζεται έναν αριθμό αναγνωρισμένων χαρακτηριστικών κωδικοποίησης παρόμοια με το Royal."
Νέες πληροφορίες σχετικά με τις λειτουργίες Royal Ransomware
Συνολικά, η πρόσφατη ομοσπονδιακή καθοδήγηση για τη Royal — μια ενημέρωση σε μια συμβουλευτική του Μαρτίου από τις υπηρεσίες - ρίχνει νέο φως στις λειτουργίες του ομίλου καθώς και στις πιθανές επόμενες κινήσεις του.
Από την ίδρυσή της, η Royal επέδειξε μια σιγουριά και καινοτομία που πιθανότατα προήλθε από την προηγούμενη σχέση της με την Conti. Η ομάδα έφτασε στη σκηνή του ransomware οπλισμένη με διάφορους τρόπους ανάπτυξης ransomware και αποφυγής ανίχνευσης, ώστε να μπορεί να προκαλέσει σημαντική ζημιά πριν τα θύματα έχουν την ευκαιρία να απαντήσουν. είπαν οι ερευνητές αμέσως μετά τον εντοπισμό της ομάδας.
Οι πιο πρόσφατες πληροφορίες για τη Royal διαπιστώνουν ότι η ομάδα συνεχίζει να χρησιμοποιεί τις αρχικές της τακτικές μερικής κρυπτογράφησης και διπλού εκβιασμού. Οι αναλυτές είπαν επίσης ότι ο μακράν ο πιο επιτυχημένος τρόπος για να θέσει σε κίνδυνο το δίκτυο ενός θύματος είναι το phishing. έχει αποκτήσει αρχική πρόσβαση σε δίκτυα μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος στο 66.7% των περιπτώσεων, σύμφωνα με τα πρακτορεία.
«Σύμφωνα με αναφορές ανοιχτού κώδικα, τα θύματα έχουν εγκαταστήσει εν αγνοία τους κακόβουλο λογισμικό που παραδίδει Royal ransomware αφού λάβουν μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα έγγραφα PDF και κακόβουλη διαφήμιση», ανέφεραν οι υπηρεσίες.
Ο δεύτερος πιο συνηθισμένος τρόπος εισόδου στο 13.3% των θυμάτων ήταν μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και σε ορισμένες περιπτώσεις η Royal εκμεταλλευόταν εφαρμογές που αντιμετωπίζουν το κοινό ή μόχλευσε μεσίτες για να αποκτήσει αρχική πρόσβαση και να προμηθεύσει την επισκεψιμότητα συλλέγοντας διαπιστευτήρια εικονικού ιδιωτικού δικτύου (VPN). από κορμούς κλεφτών, ανέφεραν τα πρακτορεία.
Μόλις αποκτήσει πρόσβαση σε ένα δίκτυο, η ομάδα κατεβάζει πολλά εργαλεία — συμπεριλαμβανομένου του νόμιμου λογισμικού των Windows και του Chisel, ενός εργαλείου ανοίγματος σήραγγας ανοιχτού κώδικα — για να ενισχύσει τη βάση σε ένα δίκτυο και να επικοινωνήσει με την εντολή και τον έλεγχο (C2), αντίστοιχα. Η Royal χρησιμοποιεί επίσης συχνά το RDP για να μετακινηθεί πλευρικά σε ένα δίκτυο και αγγίζει το λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το AnyDesk, το LogMeIn και το Atera για επιμονή.
Εξέλιξη μερικής κρυπτογράφησης
Η μοναδική προσέγγιση μερικής κρυπτογράφησης που έχει χρησιμοποιήσει η Royal Από την έναρξή του συνεχίζει να αποτελεί βασικό στοιχείο των λειτουργιών του, με την τελευταία παραλλαγή του ransomware να χρησιμοποιεί το δικό του προσαρμοσμένο πρόγραμμα κρυπτογράφησης αρχείων. Η εξελιγμένη μερική κρυπτογράφηση της Royal επιτρέπει στον παράγοντα απειλής να επιλέξει ένα συγκεκριμένο ποσοστό δεδομένων σε ένα αρχείο για κρυπτογράφηση, μειώνοντας έτσι το ποσοστό κρυπτογράφησης για μεγαλύτερα αρχεία και βοηθώντας την ομάδα να αποφύγει τον εντοπισμό.
Η ομάδα συνεχίζει επίσης να ασκεί διπλό εκβιασμό, να εκμεταλλεύεται δεδομένα πριν από την κρυπτογράφηση και, στη συνέχεια, να απειλεί να δημοσιοποιήσει κρυπτογραφημένα δεδομένα των θυμάτων, εάν δεν ικανοποιηθούν τα αιτήματά της για λύτρα.
«Αφού αποκτήσουν πρόσβαση στα δίκτυα των θυμάτων, οι βασιλικοί ηθοποιοί απενεργοποιούν το λογισμικό προστασίας από ιούς και διοχετεύουν μεγάλες ποσότητες δεδομένων προτού τελικά αναπτύξουν το ransomware και κρυπτογραφήσουν τα συστήματα», σύμφωνα με τη συμβουλευτική.
Για να επιτύχει αυτή τη διείσδυση, η ομάδα επαναχρησιμοποιεί νόμιμα εργαλεία δοκιμών διείσδυσης στον κυβερνοχώρο, όπως το Cobalt Strike, και εργαλεία και παράγωγα κακόβουλου λογισμικού όπως το Ursnif/Gozi για τη συγκέντρωση και την εξαγωγή δεδομένων, στέλνοντας τα δεδομένα αρχικά σε μια διεύθυνση IP των ΗΠΑ, βρήκαν οι υπηρεσίες.
Αποφυγή της «Βασιλικής Θεραπείας»
Η ομοσπονδιακή συμβουλευτική περιλαμβάνει μια λίστα αρχείων, προγραμμάτων και διευθύνσεων IP που σχετίζονται με επιθέσεις ransomware Royal.
Για να αποφευχθεί η συμπερίληψη από τη Royal ή άλλες ομάδες ransomware, το FBI και η CISA συνιστούν στους οργανισμούς να δώσουν προτεραιότητα στην αποκατάσταση γνωστών εκμεταλλευόμενων τρωτών σημείων για να δυσκολέψουν τους εισβολείς να εκμεταλλευτούν τα υπάρχοντα ελαττώματα στα δίκτυά τους.
Δεδομένου ότι το πιο επιτυχημένο σημείο εισόδου της Royal είναι μέσω του phishing, οι ομοσπονδίες συνιστούν επίσης εκπαίδευση των εργαζομένων να εντοπίζουν και να αναφέρουν απάτες phishing για να μην πέσουν θύματά τους. Η ενεργοποίηση και η επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματα είναι επίσης μια βασική αμυντική τακτική, σύμφωνα με τις υπηρεσίες.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand
- :έχει
- :είναι
- :δεν
- $ 1 εκατομμύρια
- $UP
- 1
- 13
- 2022
- 66
- 7
- a
- πρόσβαση
- Σύμφωνα με
- Κατορθώνω
- απέναντι
- δραστηριότητα
- φορείς
- διεύθυνση
- διευθύνσεις
- συμβουλευτικός
- Θυγατρικών
- Μετά το
- πάλι
- υπηρεσίες
- συσσωμάτωση
- επιτρέπει
- ήδη
- Επίσης
- μεταξύ των
- Ποσά
- an
- Αναλυτές
- και
- Άλλος
- προστασίας από ιούς
- εμφανίζεται
- εφαρμογές
- πλησιάζω
- ένοπλες
- έφτασε
- AS
- άποψη
- συσχετισμένη
- Επιθέσεις
- προσοχή
- Πιστοποίηση
- Αρχές
- αποφύγετε
- BE
- πριν
- Πιστεύω
- μεταξύ
- μεσίτες
- αλλά
- by
- ήρθε
- CAN
- περιπτώσεις
- ευκαιρία
- χαρακτηριστικά
- Επιλέξτε
- Πόλη
- Κοβάλτιο
- Κωδικοποίηση
- Κοινός
- επικοινωνούν
- Διαβιβάσεις
- συμβιβασμός
- Conti
- συνεχίζεται
- συνεχίζοντας
- Διαπιστεύσεις
- στον κυβερνοχώρο
- Ντάλας
- βλάβη
- ημερομηνία
- Ημερομηνία
- Άμυνα
- παραδίδει
- απαιτητικές
- απαιτήσεις
- κατέδειξε
- Τμήμα
- παρατάσσω
- ανάπτυξη
- Παράγωγα
- επιφάνεια εργασίας
- Ανίχνευση
- do
- έγγραφα
- διπλασιαστεί
- λήψεις
- δυο
- Εκπαίδευση
- προσπάθεια
- προέκυψαν
- Υπάλληλος
- ενεργοποίηση
- κρυπτογραφημένα
- κρυπτογράφηση
- επιβολή
- καταχώριση
- ουσιώδης
- υπερβαίνω
- υπέρβαση
- διήθηση
- υφιστάμενα
- Εκμεταλλεύομαι
- Κακοποιημένα
- εκβιασμός
- Εκχυλίσματα
- Πτώση
- μακριά
- ταχυκίνητος
- FBI
- Ομοσπονδιακός
- Ομοσπονδιακοί
- Αρχεία
- Αρχεία
- ευρήματα
- ελαττώματα
- Εξής
- Για
- Βρέθηκαν
- από
- Κέρδος
- κέρδισε
- κερδίζει
- Συμμορία
- αλληλοσύνδεση μηχανισμών
- Group
- Ομάδα
- καθοδήγηση
- σκληρότερα
- συγκομιδή
- Έχω
- Υγεία
- υγειονομική περίθαλψη
- βοήθεια
- υψηλό προφίλ
- HTTPS
- ανθρώπινος
- προσδιορίζονται
- if
- in
- έναρξη
- περιλαμβάνουν
- περιλαμβάνει
- Συμπεριλαμβανομένου
- αυξημένη
- υποδεικνύεται
- βιομηχανίες
- Υποδομή
- αρχικός
- αρχικά
- Καινοτομία
- ιδέες
- εγκατασταθεί
- Νοημοσύνη
- έρευνα
- IP
- Διεύθυνση IP
- Διευθύνσεις IP
- IT
- ΤΟΥ
- εαυτό
- άρθρωση
- jpg
- μόλις
- Κλειδί
- γνωστός
- large
- μεγαλύτερος
- Επίθετο
- αργότερο
- νόμιμος
- μόχλευση
- φως
- Πιθανός
- Λιστα
- Μείωση
- κάνω
- malware
- διαχείριση
- κατασκευής
- πολοί
- Μάρτιος
- Ενδέχεται..
- πληρούνται
- εκατομμύριο
- Τρόπος
- παρακολούθηση
- περισσότερο
- πλέον
- μετακινήσετε
- κινήσεις
- επαλήθευση πολλών παραγόντων
- πολλαπλούς
- δίκτυο
- δίκτυα
- Νέα
- επόμενη
- αριθμός
- of
- υπάλληλοι
- Πέλαγος
- συχνά
- on
- αποκλειστικά
- ανοίξτε
- ανοικτού κώδικα
- λειτουργεί
- λειτουργίες
- or
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- δική
- διείσδυση
- ποσοστό
- επιμονή
- Phishing
- Απάτες phishing
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- δυναμικού
- ενδεχομένως
- πρακτική
- προετοιμασία
- προηγούμενος
- Πριν
- Δώστε προτεραιότητα
- ιδιωτικός
- Πρόγραμμα
- Προγράμματα
- πρωτόκολλο
- δημοσίως
- Δημοσιεύει
- Λύτρα
- ransomware
- Επιθέσεις Ransomware
- Ρέμπραντ
- λήψη
- πρόσφατος
- συνιστώ
- περιοχές
- απελευθερώνουν
- μακρινός
- αναφέρουν
- αναφέρθηκαν
- Αναφορά
- ερευνητές
- αντίστοιχα
- Απάντηση
- βασιλικός
- s
- Είπε
- απάτες
- σκηνή
- λεπτομερής έλεγχος
- Δεύτερος
- ασφάλεια
- αποστολή
- Σεπτέμβριος
- Υπηρεσίες
- σειρά
- Μερίδια
- έδειξε
- σημαντικός
- παρόμοιες
- αφού
- So
- λογισμικό
- μερικοί
- σύντομα
- εξελιγμένα
- επιτήδευση
- Πηγή
- συγκεκριμένες
- Spot
- Ενισχύω
- απεργία
- επιτυχής
- τέτοιος
- συστήματα
- τακτική
- Βρύσες
- στοχευμένες
- στόχευση
- Δοκιμές
- από
- ότι
- Η
- τους
- Τους
- τότε
- αυτό
- απειλή
- Μέσω
- Ετσι
- προς την
- εργαλείο
- εργαλεία
- ΚΙΝΗΣΗ στους ΔΡΟΜΟΥΣ
- Εκπαίδευση
- θεραπεία
- Τρίτη
- τελικά
- μοναδικός
- Ενημέρωση
- us
- Ομοσπονδιακή των ΗΠΑ
- χρησιμοποιεί
- χρησιμοποιώντας
- Παραλλαγή
- ποικίλος
- μέσω
- Θύμα
- θύματα
- Πραγματικός
- VPN
- Θέματα ευπάθειας
- ήταν
- Τρόπος..
- τρόπους
- ΛΟΙΠΌΝ
- Ποιό
- παράθυρα
- με
- χωρίς
- παγκόσμιος
- έτος
- zephyrnet