Royal Ransom kräver överstigande 275 miljoner dollar, bytt varumärke på väg

Det kungliga ransomware-gänget tycks vara redo för en ny ström av aktivitet som potentiellt inkluderar en omprofilering eller spinoff-satsning, eftersom krav på lösen från den snabbrörliga gruppen sedan dess första aktivitet i september 2022 redan har överstigit 275 miljoner dollar, enligt amerikanska federala myndigheter myndigheterna.

En gemensam rådgivning av FBI och CISA på tisdagen indikerade att ransomware-gruppen – som verkar utan medlemsförbund och hänsynslöst publicerar data som den extraherar från offer – fortsätter att utvecklas snabbt.

På bara året sedan starten har gruppen redan riktat in sig på mer än 350 offer över hela världen på ett godtyckligt sätt - utan att rikta in sig på specifika regioner eller industrier - och krävt mellan 1 miljon dollar och 12 miljoner dollar i lösen, sa byråerna. Bland dess offer hittills finns organisationer i kritiska infrastruktursektorer inklusive tillverkning, kommunikation, utbildning och hälsovård; attackerna mot den sista av vilka uppmärksammats av det amerikanska departementet för hälsa och mänskliga tjänster (HHS) säkerhetsteam.

Royal, som många forskare tror har uppstått ur askan av nu nedlagda Conti Group, kan återigen ställas in för att ändra varumärket som Blacksuit, en annan ransomware som dök upp mitten av året och visade unik sofistikering från början. Detta steg kan bero på ökad granskning av federala myndigheter, inte bara utredningen av HHS utan även efter en högprofilerad attack på staden Dallas i maj, sade tjänstemän.

"Royal kan förbereda sig för ett nytt varumärke och/eller en spinoff-variant", enligt rådgivandet. "Blacksuit ransomware delar ett antal identifierade kodningsegenskaper som liknar Royal."

Nya insikter om Royal Ransomware Operations

Sammantaget, den senaste federala vägledningen om Royal - en uppdatering av ett råd i mars från byråerna - kastar nytt ljus över koncernens verksamhet och dess potentiella nästa drag.

Redan från starten visade Royal en trygghet och innovation som troligen kom från dess tidigare anknytning till Conti. Gruppen anlände till ransomware-scenen beväpnad med olika sätt att distribuera ransomware och undvika upptäckt så att den kan göra betydande skada innan offren har en chans att svara, forskare sa strax efter gruppens upptäckt.

De senaste underrättelserna om Royal finner att gruppen fortsätter att använda sin ursprungliga taktik för partiell kryptering och dubbel utpressning. Analytiker sa också att det överlägset mest framgångsrika sättet att kompromissa med ett offers nätverk är nätfiske; den har fått första tillgång till nätverk via nätfiske-e-post i 66.7 % av fallen, enligt byråerna.

"Enligt öppen källkodsrapportering har offer omedvetet installerat skadlig programvara som levererar Royal ransomware efter att ha tagit emot nätfiske-e-postmeddelanden som innehåller skadliga PDF-dokument och malvertising", sa byråerna.

Det näst vanligaste inträdessättet hos 13.3 % av offren var genom Remote Desktop Protocol (RDP), och i vissa fall utnyttjade Royal appar som riktade sig till allmänheten eller utnyttjade mäklare för att få initial åtkomst och källtrafik genom att samla in autentiseringsuppgifter för virtuellt privat nätverk (VPN). från stjälarloggar, rapporterade myndigheterna.

När gruppen väl har fått tillgång till ett nätverk laddar gruppen ner flera verktyg – inklusive legitim Windows-programvara och Chisel, ett tunnelverktyg med öppen källkod – för att stärka fotfästet i ett nätverk och kommunicera med kommando-och-kontroll (C2), respektive. Royal använder också ofta RDP för att röra sig i sidled över ett nätverk och trycker på programvara för fjärrövervakning och hantering (RMM) som AnyDesk, LogMeIn och Atera för beständighet.

Utveckling av partiell kryptering

Smakämnen unik partiell krypteringsmetod som Royal har använt sedan starten fortsätter att vara en nyckelaspekt av dess verksamhet, med den senaste varianten av ransomware som använder sitt eget skräddarsydda filkrypteringsprogram. Royals sofistikerade partiella kryptering gör att hotaktören kan välja en specifik procentandel av data i en fil att kryptera, vilket sänker krypteringsprocenten för större filer och hjälper gruppen att undvika upptäckt.

Gruppen fortsätter också att utöva dubbel utpressning, exfiltrera data före kryptering och sedan hota att offentligt släppa krypterade offerdata om deras krav på lösen inte uppfylls.

"Efter att ha fått tillgång till offrens nätverk, inaktiverar kungliga aktörer antivirusprogramvara och exfiltrerar stora mängder data innan de slutligen distribuerar ransomware och krypterar systemen", enligt rådgivningen.

För att uppnå denna exfiltrering återanvänder gruppen legitima testverktyg för cyberpenetration som Cobalt Strike, och skadliga verktyg och derivat som Ursnif/Gozi för dataaggregering och exfiltrering, och skickar data initialt till en amerikansk IP-adress, fann byråerna.

Undviker den "kungliga behandlingen"

Den federala rådgivningen innehåller en lista över filer, program och IP-adresser associerade med Royal ransomware-attacker.

För att undvika att omfattas av Royal eller andra ransomware-grupper rekommenderar FBI och CISA att organisationer prioriterar att åtgärda kända exploaterade sårbarheter för att göra det svårare för angripare att utnyttja befintliga brister i sina nätverk.

Med tanke på att Royals mest framgångsrika inträde är genom nätfiske, rekommenderar FB också utbildning av anställda för att upptäcka och rapportera nätfiske för att undvika att bli offer för dem. Att möjliggöra och genomdriva multifaktorautentisering över system är också en viktig försvarstaktik, enligt byråerna.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand