Королівські вимоги викупу перевищують 275 мільйонів доларів, ребрендинг готовий

Королівські вимоги викупу перевищують 275 мільйонів доларів, ребрендинг готовий

Мітка часу: 14 листопада 2023 р., 10:48
Королівські вимоги щодо викупу перевищують 275 мільйонів доларів США, ребрендинг, який пропонує розвідку даних PlatoBlockchain. Вертикальний пошук. Ai.

Королівська банда програм-вимагачів, схоже, готується до нової хвилі діяльності, яка потенційно включатиме ребрендинг або спробу відокремлення, оскільки, згідно з федеральними даними США, вимоги викупу з боку швидко розвиваючої групи з моменту її початкової діяльності у вересні 2022 року вже перевищили 275 мільйонів доларів. влади.

Спільна консультація ФБР і CISA у вівторок показали, що група програм-вимагачів, яка працює без філій і безжалісно публікує дані, отримані від жертв, продовжує швидко розвиватися.

Всього за рік з моменту свого заснування угруповання вже націлило понад 350 жертв по всьому світу у довільний спосіб — без націлювання на конкретні регіони чи галузі — вимагаючи від 1 до 12 мільйонів доларів США викупу, повідомляють агентства. Серед його жертв на сьогоднішній день є організації в сектори критичної інфраструктури включаючи виробництво, зв'язок, освіту та охорону здоров'я; атаки на останню з яких привернули увагу групи безпеки Міністерства охорони здоров’я та соціальних служб США (HHS).

Королівський, який, на думку багатьох дослідників, виник із попелу нині неіснуюча Конті Груп, може знову змінити свій бренд як чорний костюм, інше програмне забезпечення-вимагач, яке з’явилося в середині року та демонструвало унікальну витонченість із самого початку. Цей крок може бути пов’язаний із посиленням контролю з боку федеральних органів влади, не лише розслідування HHS, але й подальших резонансний напад на місто Даллас у травні, повідомили чиновники.

«Royal, можливо, готується до ребрендингу та/або додаткового варіанту», - йдеться в повідомленні. «Програма-вимагач Blacksuit має ряд ідентифікованих характеристик кодування, подібних до Royal».

Нова інформація про операції Royal Ransomware

Загалом, нещодавні федеральні вказівки щодо Royal — оновлення березневих рекомендацій агентств - проливає нове світло на діяльність групи, а також на її потенційні наступні дії.

З самого початку компанія Royal продемонструвала впевненість і інноваційність, які, ймовірно, виникли завдяки її попередній співпраці з Conti. Група прибула на сцену програм-вимагачів, озброєна різноманітними способами розгортання програм-вимагачів і уникнення виявлення, щоб вони могли завдати значної шкоди до того, як жертви зможуть відповісти. сказали дослідники незабаром після виявлення групи.

Останні дані розвідки про Рояля показують, що група продовжує використовувати свою оригінальну тактику часткового шифрування та подвійного вимагання. Аналітики також заявили, що на сьогоднішній день найуспішнішим способом компрометації мережі жертви є фішинг; За даними агентств, він отримував початковий доступ до мереж через фішингові листи в 66.7% випадків.

«Згідно з повідомленнями з відкритих джерел, жертви несвідомо встановили зловмисне програмне забезпечення, яке доставляє Royal ransomware після отримання фішингових електронних листів, що містять шкідливі PDF-документи та зловмисну ​​рекламу», — повідомили агентства.

Другим найпоширенішим способом входу у 13.3% жертв був протокол віддаленого робочого столу (RDP), і в деяких випадках Royal використовував загальнодоступні програми або залучав брокерів, щоб отримати початковий доступ і джерело трафіку, збираючи облікові дані віртуальної приватної мережі (VPN). з журналів крадіїв, повідомляють агентства.

Отримавши доступ до мережі, група завантажує кілька інструментів, включаючи законне програмне забезпечення Windows і Chisel, інструмент тунелювання з відкритим вихідним кодом, щоб зміцнити опору в мережі та спілкуватися з командно-контрольними (C2) відповідно. Royal також часто використовує RDP для бокового переміщення через мережу та використовує програмне забезпечення віддаленого моніторингу та керування (RMM), таке як AnyDesk, LogMeIn і Atera для постійності.

Еволюція часткового шифрування

Команда унікальний підхід часткового шифрування, який використовував Royal з моменту свого заснування продовжує залишатися ключовим аспектом його діяльності, при цьому останній варіант програми-вимагача використовує власну програму шифрування файлів, створену на замовлення. Удосконалене часткове шифрування Royal дозволяє зловмиснику вибирати певний відсоток даних у файлі для шифрування, таким чином знижуючи відсоток шифрування для великих файлів і допомагаючи групі уникнути виявлення.

Група також продовжує практикувати подвійне вимагання, викрадаючи дані перед шифруванням, а потім погрожуючи оприлюднити зашифровані дані жертви, якщо її вимоги щодо викупу не будуть виконані.

«Після отримання доступу до мереж жертв королівські актори вимикають антивірусне програмне забезпечення та викрадають великі обсяги даних перед остаточним розгортанням програми-вимагача та шифрування систем», — йдеться в повідомленні.

Щоб досягти цього викрадання, група перепрофілює законні інструменти тестування на кібернепроникнення, такі як Cobalt Strike, а також інструменти та похідні шкідливі програми, такі як Ursnif/Gozi, для агрегації та викрадання даних, надсилаючи дані спочатку на IP-адресу в США, виявили агентства.

Як уникнути «королівського поводження»

Федеральне попередження містить список файлів, програм і IP-адрес, пов’язаних з атаками програм-вимагачів Royal.

Щоб уникнути захоплення з боку Royal або інших груп програм-вимагачів, ФБР і CISA рекомендують організаціям надавати першочергове усунення відомих уразливостей, щоб ускладнити зловмисникам використання існуючих недоліків у їхніх мережах.

З огляду на те, що найуспішнішою точкою входу Royal є фішинг, федерали також рекомендують навчати працівників виявляти та повідомляти про фішингові афери, щоб не стати їх жертвою. За словами агентств, увімкнення та застосування багатофакторної автентифікації в системах також є важливою тактикою захисту.

Часова мітка:

Більше від Темне читання