Royal Ransom 요구액 275억 XNUMX만 달러 초과, 곧 브랜드 변경

미국 연방 정부에 따르면 Royal 랜섬웨어 갱단은 2022년 275월 첫 활동 이후 빠르게 변화하는 이 그룹의 몸값 요구량이 이미 XNUMX억 XNUMX만 달러를 초과했기 때문에 잠재적으로 브랜드 변경이나 분사 노력을 포함하는 새로운 활동의 급증에 대비하고 있는 것으로 보입니다. 당국.

공동 자문 화요일 FBI와 CISA는 계열사 없이 운영되며 피해자로부터 추출한 데이터를 무자비하게 게시하는 랜섬웨어 그룹이 계속해서 활동하고 있음을 밝혔습니다. 빠르게 진화하다.

이 그룹은 창립 350년 만에 이미 특정 지역이나 산업을 대상으로 하지 않고 임의의 방식으로 전 세계 1명 이상의 피해자를 표적으로 삼아 12만 달러에서 XNUMX만 달러 사이의 몸값을 요구했다고 이 기관은 밝혔습니다. 현재까지 피해자 중에는 다음과 같은 조직이 포함됩니다. 중요한 인프라 부문 제조, 통신, 교육, 의료 등을 포함합니다. 마지막 공격은 미국 보건복지부(HHS) 보안팀의 관심을 끌었습니다.

많은 연구자들은 로얄(Royal)이 잿더미에서 탄생했다고 믿고 있습니다. 현재는 없어진 콘티 그룹, 다시 브랜드를 변경하도록 설정될 수 있습니다. 블랙수트로는 올해 중반에 등장하여 처음부터 독특한 정교함을 보여준 또 다른 랜섬웨어입니다. 이러한 움직임은 HHS의 조사뿐만 아니라 다음과 같은 연방 당국의 조사 강화로 인한 것일 수 있습니다. 세간의 이목을 끄는 공격 지난 5월 달라스 시에서 관리들은 말했다.

자문에 따르면 "Royal은 브랜드 변경 노력 및/또는 분사 변형을 준비하고 있을 수 있습니다."라고 합니다. “Blacksuit 랜섬웨어는 Royal과 유사한 식별된 여러 코딩 특성을 공유합니다.”

Royal Ransomware 운영에 대한 새로운 통찰력

전반적으로 Royal에 대한 최근 연방 지침 — 해당 기관의 3월 권고에 대한 업데이트 - 그룹의 운영과 잠재적인 다음 움직임에 대해 새로운 시각을 제시합니다.

Royal은 처음부터 Conti와의 이전 제휴에서 비롯된 확실한 발판과 혁신을 보여주었습니다. 이 그룹은 피해자가 대응하기 전에 심각한 피해를 입힐 수 있도록 랜섬웨어를 배포하고 탐지를 회피하는 다양한 방법으로 무장하고 랜섬웨어 현장에 도착했습니다. 연구원들은 말했다. 그룹이 감지된 직후입니다.

Royal에 대한 최신 정보에 따르면 이 그룹은 원래의 부분 암호화 및 이중 강탈 전술을 계속 사용하고 있습니다. 분석가들은 또한 피해자의 네트워크를 손상시키는 가장 성공적인 방법은 피싱이라고 말했습니다. 기관에 따르면 66.7%의 사례에서 피싱 이메일을 통해 네트워크에 대한 초기 액세스 권한을 얻었습니다.

“오픈소스 보고에 따르면 피해자들은 악성 PDF 문서와 악성 광고가 포함된 피싱 이메일을 받은 후 자신도 모르게 Royal 랜섬웨어를 전달하는 악성 코드를 설치했습니다.”라고 기관은 말했습니다.

피해자 중 13.3%에서 두 번째로 가장 일반적인 진입 방식은 RDP(원격 데스크톱 프로토콜)를 통한 것이며, 일부 경우 Royal은 공개 애플리케이션을 이용하거나 브로커를 활용하여 VPN(가상 사설망) 자격 증명을 수집하여 초기 액세스 및 소스 트래픽을 얻었습니다. 도둑질 로그에서 기관이보고했습니다.

네트워크에 액세스하면 그룹은 합법적인 Windows 소프트웨어와 오픈 소스 터널링 도구인 Chisel을 포함한 여러 도구를 다운로드하여 각각 네트워크의 기반을 강화하고 명령 및 제어(C2)와 통신합니다. Royal은 또한 종종 RDP를 사용하여 네트워크를 통해 측면으로 이동하고 지속성을 위해 AnyDesk, LogMeIn 및 Atera와 같은 RMM(원격 모니터링 및 관리) 소프트웨어를 활용합니다.

부분 암호화의 진화

XNUMXD덴탈의 Royal이 사용한 고유한 부분 암호화 접근 방식 랜섬웨어의 최신 변종은 자체 맞춤형 파일 암호화 프로그램을 사용하는 등 랜섬웨어의 시작이 계속해서 운영의 핵심 측면이기 때문입니다. Royal의 정교한 부분 암호화를 통해 위협 행위자는 파일에서 암호화할 데이터의 특정 비율을 선택할 수 있으므로 더 큰 파일의 암호화 비율을 낮추고 그룹이 탐지를 회피하는 데 도움이 됩니다.

또한 이 그룹은 암호화하기 전에 데이터를 유출하고 몸값 요구 사항이 충족되지 않으면 암호화된 피해자 데이터를 공개적으로 공개하겠다고 위협하는 이중 강탈 행위를 계속하고 있습니다.

권고문에 따르면 “왕실 공격자는 피해자의 네트워크에 접근한 후 바이러스 백신 소프트웨어를 비활성화하고 대량의 데이터를 유출한 후 궁극적으로 랜섬웨어를 배포하고 시스템을 암호화합니다.”라고 밝혔습니다.

이러한 유출을 달성하기 위해 그룹은 Cobalt Strike와 같은 합법적인 사이버 침투 테스트 도구와 Ursnif/Gozi와 같은 악성 코드 도구 및 파생물을 데이터 집계 및 유출을 위해 재사용하여 데이터를 처음에 미국 IP 주소로 전송한 것으로 밝혀졌습니다.

'왕실 대우' 피하기

연방 권고에는 Royal 랜섬웨어 공격과 관련된 파일, 프로그램 및 IP 주소 목록이 포함되어 있습니다.

Royal 또는 기타 랜섬웨어 그룹에 의해 통합되는 것을 피하기 위해 FBI와 CISA는 조직이 알려진 악용 취약점을 우선적으로 해결하여 공격자가 네트워크의 기존 결함을 악용하는 것을 더 어렵게 만들 것을 권장합니다.

Royal의 가장 성공적인 진입 지점이 피싱을 통한 것이라는 점을 감안할 때, 연방 정부는 직원들에게 피싱 사기를 발견하고 보고하여 피해자가 되지 않도록 교육할 것을 권장합니다. 기관에 따르면 시스템 전반에 걸쳐 다단계 인증을 활성화하고 시행하는 것도 필수적인 방어 전략이라고 합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand