נראה כי כנופיית תוכנת הכופר המלכותית מתכוננת לגל חדש של פעילות שעשויה לכלול מיתוג מחדש או מאמץ ספין-אוף, שכן דרישות הכופר של הקבוצה המהירה מאז פעילותה הראשונית בספטמבר 2022 כבר עלו על 275 מיליון דולר, על פי הפדרל האמריקאי. רָשׁוּיוֹת.
ייעוץ משותף על ידי ה-FBI וה-CISA ביום שלישי ציינו כי קבוצת תוכנות הכופר - הפועלת ללא שותפים ומפרסמת ללא רחמים את הנתונים שהיא שואבת מקורבנות - ממשיכה להתפתח במהירות.
רק בשנה שחלפה מאז הקמתה, הקבוצה כבר כיוונה ליותר מ-350 קורבנות ברחבי העולם באופן שרירותי - מבלי להתמקד באזורים או תעשיות ספציפיות - בדרישה בין מיליון דולר ל-1 מיליון דולר כופר, אמרו הסוכנויות. בין הקורבנות שלה עד היום נמנים ארגונים ב מגזרי תשתית קריטיים כולל, ייצור, תקשורת, חינוך ושירותי בריאות; התקפות על האחרונה שבהן משכו את תשומת הלב של צוות האבטחה של משרד הבריאות ושירותי האנוש האמריקאי (HHS).
רויאל, שחוקרים רבים מאמינים כי יצא מאפרה של קבוצת Conti שהושבתה כעת, שוב עשוי להיות מוגדר למתג את עצמו מחדש בתור Blacksuit, תוכנת כופר נוספת שהופיעה באמצע השנה והראתה תחכום ייחודי מלכתחילה. מהלך זה עשוי לנבוע מבדיקה מוגברת של הרשויות הפדרליות, לא רק מהחקירה של ה-HHS אלא גם בעקבות מתקפה בפרופיל גבוה על העיר דאלאס במאי, אמרו גורמים רשמיים.
"ייתכן שרויאל מתכוננת למאמץ מיתוג מחדש ו/או גרסה ספין-אוף", לפי הייעוץ. "תוכנת הכופר של Blacksuit חולקת מספר מאפייני קידוד מזוהים הדומים ל-Royal."
תובנות חדשות על פעולות Royal Ransomware
בסך הכל, ההנחיות הפדרליות האחרונות לגבי רויאל - עדכון לייעוץ מחודש מרץ של הסוכנויות - שופך אור חדש על פעילות הקבוצה וכן על המהלכים הבאים הפוטנציאליים שלה.
מראשיתה, רויאל הפגינה ביטחון וחדשנות שכנראה הגיעו מהשייכות הקודמת שלה לקונטי. הקבוצה הגיעה לזירת תוכנת הכופר חמושה בדרכים מגוונות לפריסת תוכנות כופר ולהתחמק מזיהוי כדי שתוכל לעשות נזק משמעותי לפני שלקורבנות תהיה הזדמנות להגיב, כך אמרו החוקרים זמן קצר לאחר זיהוי הקבוצה.
המודיעין האחרון על רויאל מגלה שהקבוצה ממשיכה להשתמש בטקטיקות ההצפנה החלקית והסחיטה הכפולה המקורית שלה. אנליסטים אמרו גם שהדרך המוצלחת ביותר שלה להתפשר על רשת של קורבן היא פישינג; היא השיגה גישה ראשונית לרשתות באמצעות הודעות דיוג ב-66.7% מהמקרים, לפי הסוכנויות.
"על פי דיווחי קוד פתוח, קורבנות התקינו מבלי לדעת תוכנות זדוניות שמספקות תוכנת כופר רויאל לאחר קבלת מיילים דיוג המכילים מסמכי PDF זדוניים ותדמית", אמרו הסוכנויות.
אופן הכניסה השני בשכיחותו בקרב 13.3% מהקורבנות היה באמצעות פרוטוקול שולחן עבודה מרוחק (RDP), ובמקרים מסוימים רויאל ניצלה אפליקציות הפונות לציבור או מינפה ברוקרים כדי להשיג גישה ראשונית ותעבורת מקור על ידי קצירת אישורי רשת פרטית וירטואלית (VPN) מיומני גנבים, דיווחו הסוכנויות.
לאחר קבלת גישה לרשת, הקבוצה מורידה כלים מרובים - כולל תוכנת Windows לגיטימית ו-Chizel, כלי מנהור בקוד פתוח - כדי לחזק את דריסת הרגל ברשת ולתקשר עם פקודה ושליטה (C2), בהתאמה. רויאל גם משתמשת לעתים קרובות ב-RDP כדי לנוע לרוחב על פני רשת ומקיש על תוכנות ניטור וניהול מרחוק (RMM) כגון AnyDesk, LogMeIn ו-Atera לצורך התמדה.
אבולוציה של הצפנה חלקית
השמיים גישת הצפנה חלקית ייחודית שבה השתמשה רויאל מאז הקמתה ממשיכה להיות היבט מרכזי בפעילותה, כאשר הגרסה האחרונה של תוכנת הכופר משתמשת בתוכנת הצפנת קבצים בהתאמה אישית משלה. ההצפנה החלקית המתוחכמת של רויאל מאפשרת לשחקן האיום לבחור אחוז מסוים של נתונים בקובץ להצפנה, ובכך להוריד את אחוז ההצפנה לקבצים גדולים יותר ולסייע לקבוצה להתחמק מגילוי.
הקבוצה גם ממשיכה לתרגל סחיטה כפולה, הוצאת נתונים לפני ההצפנה ולאחר מכן מאיימת לשחרר בפומבי נתוני קורבן מוצפנים אם דרישות הכופר שלה לא ייענו.
"לאחר שהשיג גישה לרשתות של קורבנות, שחקני רויאל משביתים תוכנת אנטי-וירוס ומחלצים כמויות גדולות של נתונים לפני שבסופו של דבר פורסים את תוכנת הכופר ומצפינים את המערכות", לפי הייעוץ.
כדי להשיג סינון זה, הקבוצה משתמשת מחדש בכלים לגיטימיים לבדיקת חדירת סייבר כגון Cobalt Strike, וכלים ונגזרות של תוכנות זדוניות כגון Ursnif/Gozi לצבירת נתונים וחילוץ, שולחת את הנתונים בתחילה לכתובת IP בארה"ב, כך מצאו הסוכנויות.
הימנעות מה'טיפול המלכותי'
הייעוץ הפדרלי כולל רשימה של קבצים, תוכניות וכתובות IP הקשורות להתקפות רויאל כופר.
כדי להימנע מהיווצרות של Royal או קבוצות תוכנות כופר אחרות, ה-FBI וה-CISA ממליצים לארגונים לתעדף תיקון פגיעויות ידועות מנוצלות כדי להקשות על התוקפים לנצל פגמים קיימים ברשתות שלהם.
בהתחשב בעובדה שנקודת הכניסה המוצלחת ביותר של רויאל היא באמצעות פישינג, הפדרלים ממליצים גם על הכשרת עובדים לזהות ולדווח על הונאות דיוג כדי להימנע מלהיות קורבן להן. הפעלת ואכיפת אימות רב-גורמי בין מערכות היא גם טקטיקת הגנה חיונית, על פי הסוכנויות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand
- :יש ל
- :הוא
- :לֹא
- $ 1 מיליון
- $ למעלה
- 1
- 13
- 2022
- 66
- 7
- a
- גישה
- פי
- להשיג
- לרוחב
- פעילות
- שחקנים
- כתובת
- כתובות
- ייעוץ
- סניפים
- לאחר
- שוב
- סוכנויות
- - צבירה
- מאפשר
- כְּבָר
- גם
- בין
- כמויות
- an
- אנליסטים
- ו
- אחר
- אנטי וירוס
- מופיע
- יישומים
- גישה
- חמוש
- הגיע
- AS
- אספקט
- המשויך
- המתקפות
- תשומת לב
- אימות
- רשויות
- לְהִמָנַע
- BE
- לפני
- תאמינו
- בֵּין
- ברוקרים
- אבל
- by
- הגיע
- CAN
- מקרים
- סיכוי
- מאפיינים
- בחרו
- עִיר
- קובלט
- סִמוּל
- Common
- להעביר
- תקשורת
- מתפשר
- קונטי
- ממשיך
- ממשיך
- אישורים
- סייבר
- דאלאס
- נזק
- נתונים
- תַאֲרִיך
- גופי בטחון
- מספק
- תובעני
- דרישות
- מופגן
- מַחלָקָה
- לפרוס
- פריסה
- נגזרים
- שולחן העבודה
- איתור
- do
- מסמכים
- לְהַכפִּיל
- הורדות
- ראוי
- חינוך
- מאמץ
- מיילים
- יצא
- עובד
- מה שמאפשר
- מוצפן
- הצף
- אכיפה
- כניסה
- חיוני
- עולה על
- חריג
- פילטרציה
- קיימים
- לנצל
- ומנוצל
- סחיטה
- תמציות
- נפילה
- רחוק
- מהיר
- FBI
- פדרלי
- הבולשת הפדרלית
- שלח
- קבצים
- ממצאים
- פגמים
- הבא
- בעד
- מצא
- החל מ-
- לְהַשִׂיג
- צבר
- זכייה
- כְּנוּפִיָה
- הילוך
- קְבוּצָה
- קבוצה
- הדרכה
- קשה
- קְצִיר
- יש
- בְּרִיאוּת
- בריאות
- עזרה
- פרופיל גבוה
- HTTPS
- בן אנוש
- מזוהה
- if
- in
- הַתחָלָה
- לכלול
- כולל
- כולל
- גדל
- הצביע
- תעשיות
- תשתית
- בתחילה
- בהתחלה
- חדשנות
- תובנות
- מותקן
- מוֹדִיעִין
- חקירה
- IP
- כתובת IP
- כתובות IP
- IT
- שֶׁלָה
- עצמו
- משותף
- jpg
- רק
- מפתח
- ידוע
- גָדוֹל
- גדול יותר
- אחרון
- האחרון
- לגיטימי
- ממונפות
- אוֹר
- סביר
- רשימה
- מוריד
- לעשות
- תוכנות זדוניות
- ניהול
- ייצור
- רב
- צעדה
- מאי..
- נפגש
- מִילִיוֹן
- מצב
- ניטור
- יותר
- רוב
- המהלך
- מהלכים
- אימות רב-פקטורי
- מספר
- רשת
- רשתות
- חדש
- הבא
- מספר
- of
- גורמים רשמיים
- אֹפֶק הַיָם
- לעתים קרובות
- on
- רק
- לפתוח
- קוד פתוח
- פועל
- תפעול
- or
- ארגונים
- מְקוֹרִי
- אחר
- שֶׁלוֹ
- חֲדִירָה
- אחוזים
- התמדה
- דיוג
- הונאות פישינג
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- פוטנציאל
- פוטנציאל
- תרגול
- העריכה
- קודם
- קודם
- תיעדוף
- פְּרָטִי
- תָכְנִית
- תוכניות
- פרוטוקול
- בפומבי
- מפרסם
- כופר
- ransomware
- התקפות Ransomware
- מיתוג מחדש
- קבלה
- לאחרונה
- להמליץ
- אזורים
- לשחרר
- מרחוק
- לדווח
- דווח
- דווח
- חוקרים
- בהתאמה
- להגיב
- מלכותי
- s
- אמר
- הונאות
- סצינה
- בדיקה
- שְׁנִיָה
- אבטחה
- שליחה
- סֶפּטֶמבֶּר
- שירותים
- סט
- שיתופים
- הראה
- משמעותי
- דומה
- since
- So
- תוכנה
- כמה
- בקרוב
- מתוחכם
- תִחכּוּם
- מָקוֹר
- ספציפי
- מסחרי
- לחזק
- להכות
- מוצלח
- כזה
- מערכות
- טקטיקה
- ברזים
- ממוקד
- מיקוד
- נבחרת
- בדיקות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אז
- זֶה
- איום
- דרך
- כָּך
- ל
- כלי
- כלים
- תְנוּעָה
- הדרכה
- טיפול
- יום שלישי
- בסופו של דבר
- ייחודי
- עדכון
- us
- ארה"ב פדרלי
- שימושים
- באמצעות
- גִרְסָה אַחֶרֶת
- מגוון
- באמצעות
- קרבן
- קורבנות
- וירטואלי
- VPN
- פגיעויות
- היה
- דֶרֶך..
- דרכים
- טוֹב
- אשר
- חלונות
- עם
- לְלֹא
- עולמי
- שנה
- זפירנט