Sembra che il gruppo di ransomware Royal si stia preparando per una nuova ondata di attività che potenzialmente include un rebranding o uno sforzo di spin-off, poiché le richieste di riscatto da parte del gruppo in rapida evoluzione dalla sua attività iniziale nel settembre 2022 hanno già superato i 275 milioni di dollari, secondo il governo federale degli Stati Uniti. autorità.
Una consulenza congiunta da parte dell'FBI e della CISA martedì hanno indicato che il gruppo di ransomware, che opera senza affiliati e pubblica spietatamente i dati che estrae dalle vittime, continua a evolversi rapidamente.
Nel solo anno dalla sua nascita, il gruppo ha già preso di mira più di 350 vittime in tutto il mondo in modo arbitrario – senza prendere di mira regioni o settori specifici – chiedendo tra 1 milione e 12 milioni di dollari di riscatto, hanno detto le agenzie. Tra le sue vittime fino ad oggi figurano le organizzazioni in settori delle infrastrutture critiche tra cui produzione, comunicazioni, istruzione e sanità; l'ultimo degli attacchi ha attirato l'attenzione del team di sicurezza del Dipartimento della salute e dei servizi umani degli Stati Uniti (HHS).
Royal, che molti ricercatori ritengono sia emerso dalle ceneri del ormai defunto Gruppo Conti, potrebbe essere nuovamente impostato per rinominare se stesso come vestito nero, un altro ransomware emerso a metà anno e che ha mostrato fin dall'inizio una sofisticatezza unica. Questa mossa potrebbe essere dovuta a un maggiore controllo da parte delle autorità federali, non solo all'indagine dell'HHS ma anche a quelle successive un attacco di alto profilo sulla città di Dallas a maggio, hanno detto i funzionari.
"Royal potrebbe prepararsi per uno sforzo di re-branding e/o una variante di spin-off", secondo l'avviso. "Il ransomware Blacksuit condivide una serie di caratteristiche di codifica identificate simili a Royal."
Nuovi approfondimenti sulle operazioni di Royal Ransomware
Nel complesso, le recenti linee guida federali su Royal sono un aggiornamento dell’avviso di marzo delle agenzie - getta nuova luce sulle operazioni del gruppo e sulle sue potenziali mosse successive.
Fin dal suo inizio, Royal ha dimostrato sicurezza e innovazione che probabilmente derivavano dalla sua precedente affiliazione con Conti. Il gruppo è arrivato sulla scena del ransomware armato di vari modi per distribuire il ransomware ed eludere il rilevamento in modo che possa causare danni significativi prima che le vittime abbiano la possibilità di rispondere. ricercatori hanno detto subito dopo il rilevamento del gruppo.
Le ultime informazioni su Royal rilevano che il gruppo continua a utilizzare le sue tattiche originali di crittografia parziale e doppia estorsione. Gli analisti hanno anche affermato che la modalità di gran lunga più efficace per compromettere la rete di una vittima è il phishing; Secondo le agenzie, ha ottenuto il primo accesso alle reti tramite e-mail di phishing nel 66.7% dei casi.
"Secondo i report open source, le vittime hanno inconsapevolmente installato malware che fornisce Royal ransomware dopo aver ricevuto e-mail di phishing contenenti documenti PDF dannosi e malvertising", hanno affermato le agenzie.
La seconda modalità di accesso più comune nel 13.3% delle vittime è stata tramite Remote Desktop Protocol (RDP) e in alcuni casi Royal ha sfruttato applicazioni rivolte al pubblico o ha fatto leva su broker per ottenere l'accesso iniziale e generare traffico raccogliendo credenziali di rete privata virtuale (VPN). dai registri dei ladri, hanno riferito le agenzie.
Una volta ottenuto l'accesso a una rete, il gruppo scarica diversi strumenti, tra cui software Windows legittimo e Chisel, uno strumento di tunneling open source, per rafforzare il punto d'appoggio in una rete e comunicare rispettivamente con comando e controllo (C2). Royal utilizza spesso l'RDP anche per spostarsi lateralmente attraverso una rete e sfrutta software di monitoraggio e gestione remota (RMM) come AnyDesk, LogMeIn e Atera per la persistenza.
Evoluzione della crittografia parziale
Il approccio unico di crittografia parziale utilizzato da Royal fin dal suo inizio continua a essere un aspetto chiave delle sue operazioni, con l'ultima variante del ransomware che utilizza il proprio programma di crittografia dei file personalizzato. La sofisticata crittografia parziale di Royal consente all'autore della minaccia di scegliere una percentuale specifica di dati in un file da crittografare, riducendo così la percentuale di crittografia per file più grandi e aiutando il gruppo a eludere il rilevamento.
Il gruppo continua inoltre a praticare la doppia estorsione, esfiltrando i dati prima della crittografia e minacciando poi di rilasciare pubblicamente i dati crittografati delle vittime se le richieste di riscatto non vengono soddisfatte.
"Dopo aver ottenuto l'accesso alle reti delle vittime, gli attori reali disabilitano il software antivirus ed esfiltrano grandi quantità di dati prima di distribuire il ransomware e crittografare i sistemi", secondo l'avviso.
Per ottenere questa esfiltrazione, il gruppo ripropone strumenti legittimi di test di penetrazione informatica come Cobalt Strike e strumenti malware e derivati come Ursnif/Gozi per l'aggregazione e l'esfiltrazione dei dati, inviando i dati inizialmente a un indirizzo IP statunitense, hanno scoperto le agenzie.
Evitare il "trattamento reale"
L'avviso federale include un elenco di file, programmi e indirizzi IP associati agli attacchi ransomware Royal.
Per evitare la compromissione da parte di Royal o di altri gruppi ransomware, l’FBI e la CISA raccomandano alle organizzazioni di dare priorità alla riparazione delle vulnerabilità sfruttate note per rendere più difficile per gli aggressori sfruttare i difetti esistenti nelle loro reti.
Dato che il punto di ingresso di maggior successo di Royal è attraverso il phishing, i federali raccomandano anche la formazione dei dipendenti per individuare e segnalare le truffe di phishing per evitare di esserne vittime. Secondo le agenzie, anche abilitare e applicare l’autenticazione a più fattori tra i sistemi è una tattica di difesa essenziale.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand
- :ha
- :È
- :non
- $1 milioni
- $ SU
- 1
- 13
- 2022
- 66
- 7
- a
- accesso
- Secondo
- Raggiungere
- operanti in
- attività
- attori
- indirizzo
- indirizzi
- consultivo
- affiliati
- Dopo shavasana, sedersi in silenzio; saluti;
- ancora
- agenzie
- aggregazione
- consente
- già
- anche
- tra
- importi
- an
- Gli analisti
- ed
- Un altro
- antivirus
- appare
- applicazioni
- approccio
- armato
- arrivato
- AS
- aspetto
- associato
- attacchi
- attenzione
- Autenticazione
- Autorità
- evitare
- BE
- prima
- CREDIAMO
- fra
- brokers
- ma
- by
- è venuto
- Materiale
- casi
- possibilità
- caratteristiche
- Scegli
- Città
- Cobalto
- codifica
- Uncommon
- comunicare
- Comunicazioni
- compromettendo
- Conti
- continua
- continua
- Credenziali
- Cyber
- Dallas
- danno
- dati
- Data
- Difesa
- fornisce un monitoraggio
- esigente
- richieste
- dimostrato
- Shirts Department
- schierare
- distribuzione
- Derivati
- tavolo
- rivelazione
- do
- documenti
- doppio
- download
- dovuto
- Istruzione
- sforzo
- emerse
- Dipendente
- consentendo
- crittografato
- crittografia
- far rispettare
- iscrizione
- essential
- superare
- superato
- esfiltrazione
- esistente
- Sfruttare
- Exploited
- estorsione
- estratti
- Caduta
- lontano
- che si muove velocemente
- fbi
- Federale
- Feds
- Compila il
- File
- trova
- difetti
- i seguenti
- Nel
- essere trovato
- da
- Guadagno
- guadagnato
- guadagnando
- banda
- ingranaggio
- Gruppo
- Gruppo
- guida
- Più forte
- Raccolta
- Avere
- Salute e benessere
- assistenza sanitaria
- aiutare
- alto profilo
- HTTPS
- umano
- identificato
- if
- in
- inizio
- includere
- inclusi
- Compreso
- è aumentato
- indicato
- industrie
- Infrastruttura
- inizialmente
- inizialmente
- Innovazione
- intuizioni
- installato
- Intelligence
- indagine
- IP
- Indirizzo IP
- Gli indirizzi IP
- IT
- SUO
- stessa
- giunto
- jpg
- ad appena
- Le
- conosciuto
- grandi
- superiore, se assunto singolarmente.
- Cognome
- con i più recenti
- legittimo
- leveraged
- leggera
- probabile
- Lista
- Abbattimento dei Costi
- make
- il malware
- gestione
- consigliato per la
- molti
- Marzo
- Maggio..
- di cartone
- milione
- Moda
- monitoraggio
- Scopri di più
- maggior parte
- cambiano
- si muove
- autenticazione a più fattori
- multiplo
- Rete
- reti
- New
- GENERAZIONE
- numero
- of
- funzionari
- imminente
- di frequente
- on
- esclusivamente
- aprire
- open source
- opera
- Operazioni
- or
- organizzazioni
- i
- Altro
- proprio
- penetrazione
- percentuale
- persistenza
- phishing
- phishing
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- potenziale
- potenzialmente
- pratica
- preparazione
- precedente
- Precedente
- Dare priorità
- un bagno
- Programma
- Programmi
- protocollo
- pubblicamente
- Pubblica
- Ransom
- ransomware
- Attacchi ransomware
- Rimarca
- ricevente
- recente
- raccomandare
- regioni
- rilasciare
- a distanza
- rapporto
- Segnalati
- Reportistica
- ricercatori
- rispettivamente
- Rispondere
- reale
- s
- Suddetto
- truffe
- scena
- scrutinio
- Secondo
- problemi di
- invio
- Settembre
- Servizi
- set
- azioni
- ha mostrato
- significativa
- simile
- da
- So
- Software
- alcuni
- presto
- sofisticato
- raffinatezza
- Fonte
- specifico
- Spot
- Rafforza
- sciopero
- di successo
- tale
- SISTEMI DI TRATTAMENTO
- tattica
- rubinetti
- mirata
- mira
- team
- Testing
- di
- che
- Il
- loro
- Li
- poi
- questo
- minaccia
- Attraverso
- così
- a
- strumenti
- traffico
- Training
- trattamento
- Martedì
- in definitiva
- unico
- Aggiornanento
- us
- federale degli Stati Uniti
- usa
- utilizzando
- Variante
- vario
- via
- Vittima
- vittime
- virtuale
- VPN
- vulnerabilità
- Prima
- Modo..
- modi
- WELL
- quale
- finestre
- con
- senza
- In tutto il mondo
- anno
- zefiro
