Οι απαιτήσεις των βασιλικών λύτρων ξεπερνούν τα 275 εκατομμύρια δολάρια, το Rebrand είναι σε εξέλιξη

Η συμμορία Royal ransomware φαίνεται να προετοιμάζεται για μια νέα σειρά δραστηριοτήτων που δυνητικά περιλαμβάνει προσπάθεια αλλαγής επωνυμίας ή spinoff, καθώς οι απαιτήσεις για λύτρα από την ομάδα που κινείται γρήγορα από την αρχική της δραστηριότητα τον Σεπτέμβριο του 2022 έχουν ήδη ξεπεράσει τα 275 εκατομμύρια δολάρια, σύμφωνα με την ομοσπονδιακή κυβέρνηση των ΗΠΑ. αρχές.

Κοινή συμβουλευτική από το FBI και την CISA την Τρίτη ανέφεραν ότι η ομάδα ransomware — η οποία λειτουργεί χωρίς θυγατρικές και ανελέητα δημοσιεύει τα δεδομένα που εξάγει από τα θύματα — συνεχίζει να εξελιχθεί γρήγορα.

Μόλις ένα έτος από την ίδρυσή της, η ομάδα έχει ήδη στοχεύσει περισσότερα από 350 θύματα σε όλο τον κόσμο με αυθαίρετο τρόπο - χωρίς να στοχεύει συγκεκριμένες περιοχές ή βιομηχανίες - απαιτώντας μεταξύ 1 και 12 εκατομμυρίων δολαρίων λύτρα, ανέφεραν οι υπηρεσίες. Μεταξύ των θυμάτων του μέχρι σήμερα περιλαμβάνονται οργανώσεις σε τομείς κρίσιμης υποδομής συμπεριλαμβανομένης της κατασκευής, των επικοινωνιών, της εκπαίδευσης και της υγειονομικής περίθαλψης· επιθέσεις στην τελευταία από τις οποίες επέστησαν την προσοχή της ομάδας ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS).

Royal, το οποίο πολλοί ερευνητές πιστεύουν ότι αναδύθηκε από τις στάχτες του πλέον ανενεργό Conti Group, μπορεί και πάλι να ρυθμιστεί για αλλαγή επωνυμίας ως Blacksuit, ένα άλλο ransomware που εμφανίστηκε στα μέσα του έτους και έδειξε μοναδική πολυπλοκότητα από την αρχή του. Αυτή η κίνηση μπορεί να οφείλεται στον αυξημένο έλεγχο από τις ομοσπονδιακές αρχές, όχι μόνο στην έρευνα από το HHS αλλά και στη συνέχεια επίθεση υψηλού προφίλ στην πόλη του Ντάλας τον Μάιο, δήλωσαν αξιωματούχοι.

«Η Royal μπορεί να προετοιμάζεται για μια προσπάθεια αλλαγής επωνυμίας ή/και μια παραλλαγή spinoff», σύμφωνα με τη συμβουλευτική. "Το ransomware Blacksuit μοιράζεται έναν αριθμό αναγνωρισμένων χαρακτηριστικών κωδικοποίησης παρόμοια με το Royal."

Νέες πληροφορίες σχετικά με τις λειτουργίες Royal Ransomware

Συνολικά, η πρόσφατη ομοσπονδιακή καθοδήγηση για τη Royal — μια ενημέρωση σε μια συμβουλευτική του Μαρτίου από τις υπηρεσίες - ρίχνει νέο φως στις λειτουργίες του ομίλου καθώς και στις πιθανές επόμενες κινήσεις του.

Από την ίδρυσή της, η Royal επέδειξε μια σιγουριά και καινοτομία που πιθανότατα προήλθε από την προηγούμενη σχέση της με την Conti. Η ομάδα έφτασε στη σκηνή του ransomware οπλισμένη με διάφορους τρόπους ανάπτυξης ransomware και αποφυγής ανίχνευσης, ώστε να μπορεί να προκαλέσει σημαντική ζημιά πριν τα θύματα έχουν την ευκαιρία να απαντήσουν. είπαν οι ερευνητές αμέσως μετά τον εντοπισμό της ομάδας.

Οι πιο πρόσφατες πληροφορίες για τη Royal διαπιστώνουν ότι η ομάδα συνεχίζει να χρησιμοποιεί τις αρχικές της τακτικές μερικής κρυπτογράφησης και διπλού εκβιασμού. Οι αναλυτές είπαν επίσης ότι ο μακράν ο πιο επιτυχημένος τρόπος για να θέσει σε κίνδυνο το δίκτυο ενός θύματος είναι το phishing. έχει αποκτήσει αρχική πρόσβαση σε δίκτυα μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος στο 66.7% των περιπτώσεων, σύμφωνα με τα πρακτορεία.

«Σύμφωνα με αναφορές ανοιχτού κώδικα, τα θύματα έχουν εγκαταστήσει εν αγνοία τους κακόβουλο λογισμικό που παραδίδει Royal ransomware αφού λάβουν μηνύματα ηλεκτρονικού ψαρέματος που περιέχουν κακόβουλα έγγραφα PDF και κακόβουλη διαφήμιση», ανέφεραν οι υπηρεσίες.

Ο δεύτερος πιο συνηθισμένος τρόπος εισόδου στο 13.3% των θυμάτων ήταν μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και σε ορισμένες περιπτώσεις η Royal εκμεταλλευόταν εφαρμογές που αντιμετωπίζουν το κοινό ή μόχλευσε μεσίτες για να αποκτήσει αρχική πρόσβαση και να προμηθεύσει την επισκεψιμότητα συλλέγοντας διαπιστευτήρια εικονικού ιδιωτικού δικτύου (VPN). από κορμούς κλεφτών, ανέφεραν τα πρακτορεία.

Μόλις αποκτήσει πρόσβαση σε ένα δίκτυο, η ομάδα κατεβάζει πολλά εργαλεία — συμπεριλαμβανομένου του νόμιμου λογισμικού των Windows και του Chisel, ενός εργαλείου ανοίγματος σήραγγας ανοιχτού κώδικα — για να ενισχύσει τη βάση σε ένα δίκτυο και να επικοινωνήσει με την εντολή και τον έλεγχο (C2), αντίστοιχα. Η Royal χρησιμοποιεί επίσης συχνά το RDP για να μετακινηθεί πλευρικά σε ένα δίκτυο και αγγίζει το λογισμικό απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το AnyDesk, το LogMeIn και το Atera για επιμονή.

Εξέλιξη μερικής κρυπτογράφησης

Η μοναδική προσέγγιση μερικής κρυπτογράφησης που έχει χρησιμοποιήσει η Royal Από την έναρξή του συνεχίζει να αποτελεί βασικό στοιχείο των λειτουργιών του, με την τελευταία παραλλαγή του ransomware να χρησιμοποιεί το δικό του προσαρμοσμένο πρόγραμμα κρυπτογράφησης αρχείων. Η εξελιγμένη μερική κρυπτογράφηση της Royal επιτρέπει στον παράγοντα απειλής να επιλέξει ένα συγκεκριμένο ποσοστό δεδομένων σε ένα αρχείο για κρυπτογράφηση, μειώνοντας έτσι το ποσοστό κρυπτογράφησης για μεγαλύτερα αρχεία και βοηθώντας την ομάδα να αποφύγει τον εντοπισμό.

Η ομάδα συνεχίζει επίσης να ασκεί διπλό εκβιασμό, να εκμεταλλεύεται δεδομένα πριν από την κρυπτογράφηση και, στη συνέχεια, να απειλεί να δημοσιοποιήσει κρυπτογραφημένα δεδομένα των θυμάτων, εάν δεν ικανοποιηθούν τα αιτήματά της για λύτρα.

«Αφού αποκτήσουν πρόσβαση στα δίκτυα των θυμάτων, οι βασιλικοί ηθοποιοί απενεργοποιούν το λογισμικό προστασίας από ιούς και διοχετεύουν μεγάλες ποσότητες δεδομένων προτού τελικά αναπτύξουν το ransomware και κρυπτογραφήσουν τα συστήματα», σύμφωνα με τη συμβουλευτική.

Για να επιτύχει αυτή τη διείσδυση, η ομάδα επαναχρησιμοποιεί νόμιμα εργαλεία δοκιμών διείσδυσης στον κυβερνοχώρο, όπως το Cobalt Strike, και εργαλεία και παράγωγα κακόβουλου λογισμικού όπως το Ursnif/Gozi για τη συγκέντρωση και την εξαγωγή δεδομένων, στέλνοντας τα δεδομένα αρχικά σε μια διεύθυνση IP των ΗΠΑ, βρήκαν οι υπηρεσίες.

Αποφυγή της «Βασιλικής Θεραπείας»

Η ομοσπονδιακή συμβουλευτική περιλαμβάνει μια λίστα αρχείων, προγραμμάτων και διευθύνσεων IP που σχετίζονται με επιθέσεις ransomware Royal.

Για να αποφευχθεί η συμπερίληψη από τη Royal ή άλλες ομάδες ransomware, το FBI και η CISA συνιστούν στους οργανισμούς να δώσουν προτεραιότητα στην αποκατάσταση γνωστών εκμεταλλευόμενων τρωτών σημείων για να δυσκολέψουν τους εισβολείς να εκμεταλλευτούν τα υπάρχοντα ελαττώματα στα δίκτυά τους.

Δεδομένου ότι το πιο επιτυχημένο σημείο εισόδου της Royal είναι μέσω του phishing, οι ομοσπονδίες συνιστούν επίσης εκπαίδευση των εργαζομένων να εντοπίζουν και να αναφέρουν απάτες phishing για να μην πέσουν θύματά τους. Η ενεργοποίηση και η επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματα είναι επίσης μια βασική αμυντική τακτική, σύμφωνα με τις υπηρεσίες.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand