Королівська банда програм-вимагачів, схоже, готується до нової хвилі діяльності, яка потенційно включатиме ребрендинг або спробу відокремлення, оскільки, згідно з федеральними даними США, вимоги викупу з боку швидко розвиваючої групи з моменту її початкової діяльності у вересні 2022 року вже перевищили 275 мільйонів доларів. влади.
Спільна консультація ФБР і CISA у вівторок показали, що група програм-вимагачів, яка працює без філій і безжалісно публікує дані, отримані від жертв, продовжує швидко розвиватися.
Всього за рік з моменту свого заснування угруповання вже націлило понад 350 жертв по всьому світу у довільний спосіб — без націлювання на конкретні регіони чи галузі — вимагаючи від 1 до 12 мільйонів доларів США викупу, повідомляють агентства. Серед його жертв на сьогоднішній день є організації в сектори критичної інфраструктури включаючи виробництво, зв'язок, освіту та охорону здоров'я; атаки на останню з яких привернули увагу групи безпеки Міністерства охорони здоров’я та соціальних служб США (HHS).
Королівський, який, на думку багатьох дослідників, виник із попелу нині неіснуюча Конті Груп, може знову змінити свій бренд як чорний костюм, інше програмне забезпечення-вимагач, яке з’явилося в середині року та демонструвало унікальну витонченість із самого початку. Цей крок може бути пов’язаний із посиленням контролю з боку федеральних органів влади, не лише розслідування HHS, але й подальших резонансний напад на місто Даллас у травні, повідомили чиновники.
«Royal, можливо, готується до ребрендингу та/або додаткового варіанту», - йдеться в повідомленні. «Програма-вимагач Blacksuit має ряд ідентифікованих характеристик кодування, подібних до Royal».
Нова інформація про операції Royal Ransomware
Загалом, нещодавні федеральні вказівки щодо Royal — оновлення березневих рекомендацій агентств - проливає нове світло на діяльність групи, а також на її потенційні наступні дії.
З самого початку компанія Royal продемонструвала впевненість і інноваційність, які, ймовірно, виникли завдяки її попередній співпраці з Conti. Група прибула на сцену програм-вимагачів, озброєна різноманітними способами розгортання програм-вимагачів і уникнення виявлення, щоб вони могли завдати значної шкоди до того, як жертви зможуть відповісти. сказали дослідники незабаром після виявлення групи.
Останні дані розвідки про Рояля показують, що група продовжує використовувати свою оригінальну тактику часткового шифрування та подвійного вимагання. Аналітики також заявили, що на сьогоднішній день найуспішнішим способом компрометації мережі жертви є фішинг; За даними агентств, він отримував початковий доступ до мереж через фішингові листи в 66.7% випадків.
«Згідно з повідомленнями з відкритих джерел, жертви несвідомо встановили зловмисне програмне забезпечення, яке доставляє Royal ransomware після отримання фішингових електронних листів, що містять шкідливі PDF-документи та зловмисну рекламу», — повідомили агентства.
Другим найпоширенішим способом входу у 13.3% жертв був протокол віддаленого робочого столу (RDP), і в деяких випадках Royal використовував загальнодоступні програми або залучав брокерів, щоб отримати початковий доступ і джерело трафіку, збираючи облікові дані віртуальної приватної мережі (VPN). з журналів крадіїв, повідомляють агентства.
Отримавши доступ до мережі, група завантажує кілька інструментів, включаючи законне програмне забезпечення Windows і Chisel, інструмент тунелювання з відкритим вихідним кодом, щоб зміцнити опору в мережі та спілкуватися з командно-контрольними (C2) відповідно. Royal також часто використовує RDP для бокового переміщення через мережу та використовує програмне забезпечення віддаленого моніторингу та керування (RMM), таке як AnyDesk, LogMeIn і Atera для постійності.
Еволюція часткового шифрування
Команда унікальний підхід часткового шифрування, який використовував Royal з моменту свого заснування продовжує залишатися ключовим аспектом його діяльності, при цьому останній варіант програми-вимагача використовує власну програму шифрування файлів, створену на замовлення. Удосконалене часткове шифрування Royal дозволяє зловмиснику вибирати певний відсоток даних у файлі для шифрування, таким чином знижуючи відсоток шифрування для великих файлів і допомагаючи групі уникнути виявлення.
Група також продовжує практикувати подвійне вимагання, викрадаючи дані перед шифруванням, а потім погрожуючи оприлюднити зашифровані дані жертви, якщо її вимоги щодо викупу не будуть виконані.
«Після отримання доступу до мереж жертв королівські актори вимикають антивірусне програмне забезпечення та викрадають великі обсяги даних перед остаточним розгортанням програми-вимагача та шифрування систем», — йдеться в повідомленні.
Щоб досягти цього викрадання, група перепрофілює законні інструменти тестування на кібернепроникнення, такі як Cobalt Strike, а також інструменти та похідні шкідливі програми, такі як Ursnif/Gozi, для агрегації та викрадання даних, надсилаючи дані спочатку на IP-адресу в США, виявили агентства.
Як уникнути «королівського поводження»
Федеральне попередження містить список файлів, програм і IP-адрес, пов’язаних з атаками програм-вимагачів Royal.
Щоб уникнути захоплення з боку Royal або інших груп програм-вимагачів, ФБР і CISA рекомендують організаціям надавати першочергове усунення відомих уразливостей, щоб ускладнити зловмисникам використання існуючих недоліків у їхніх мережах.
З огляду на те, що найуспішнішою точкою входу Royal є фішинг, федерали також рекомендують навчати працівників виявляти та повідомляти про фішингові афери, щоб не стати їх жертвою. За словами агентств, увімкнення та застосування багатофакторної автентифікації в системах також є важливою тактикою захисту.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/threat-intelligence/royal-ransom-demands-exceed-275m-rebrand
- : має
- :є
- : ні
- $ 1 мільйонів
- $UP
- 1
- 13
- 2022
- 66
- 7
- a
- доступ
- За
- Achieve
- через
- діяльність
- актори
- адреса
- адреси
- консультативний
- Філії
- після
- знову
- агентства
- агрегація
- дозволяє
- вже
- Також
- серед
- суми
- an
- аналітики
- та
- Інший
- антивірус
- з'являється
- застосування
- підхід
- озброєний
- прибулий
- AS
- зовнішній вигляд
- асоційований
- нападки
- увагу
- Authentication
- Влада
- уникнути
- BE
- перед тим
- Вірити
- між
- брокери
- але
- by
- прийшов
- CAN
- випадків
- шанс
- характеристика
- Вибирати
- Місто
- Кобальт
- Кодування
- загальний
- спілкуватися
- зв'язку
- компрометуючі
- Conti
- триває
- триває
- Повноваження
- кібер-
- Даллас
- пошкодження
- дані
- Дата
- оборони
- постачає
- вимогливий
- запити
- продемонстрований
- відділ
- розгортання
- розгортання
- Похідні
- робочий стіл
- Виявлення
- do
- документація
- подвійний
- завантажень
- два
- Освіта
- зусилля
- повідомлення електронної пошти
- з'явився
- Співробітник
- дозволяє
- зашифрованих
- шифрування
- виконання
- запис
- істотний
- перевищувати
- перевищений
- ексфільтрація
- існуючий
- Експлуатувати
- експлуатований
- вимагання
- Виписки
- Падіння
- далеко
- швидко рухається
- fbi
- Федеральний
- Федерали
- філе
- Файли
- знахідки
- недоліки
- після
- для
- знайдений
- від
- Отримувати
- отримала
- набирає
- Банда
- зачеплення
- Group
- Групи
- керівництво
- важче
- збирання врожаю
- Мати
- здоров'я
- охорона здоров'я
- допомогу
- гучний
- HTTPS
- людина
- ідентифікований
- if
- in
- початок
- включати
- includes
- У тому числі
- збільшений
- зазначений
- промисловості
- Інфраструктура
- початковий
- спочатку
- інновація
- розуміння
- встановлений
- Інтелект
- дослідження
- IP
- IP-адреса
- IP-адреси
- IT
- ЙОГО
- сам
- спільна
- JPG
- просто
- ключ
- відомий
- великий
- більше
- останній
- останній
- законний
- левередж
- світло
- Ймовірно
- список
- Опускання
- зробити
- шкідливих програм
- управління
- виробництво
- багато
- березня
- Може..
- зустрів
- мільйона
- режим
- моніторинг
- більше
- найбільш
- рухатися
- рухається
- багатофакторна аутентифікація
- множинний
- мережу
- мереж
- Нові
- наступний
- номер
- of
- чиновників
- Пропонуючи
- часто
- on
- тільки
- відкрити
- з відкритим вихідним кодом
- працює
- операції
- or
- організації
- оригінал
- Інше
- власний
- проникнення
- відсоток
- наполегливість
- phishing
- фішинг Шахрайство
- plato
- Інформація про дані Платона
- PlatoData
- точка
- потенціал
- потенційно
- практика
- підготовка
- попередній
- попередній
- Пріоритетність
- приватний
- програма
- програми
- протокол
- публічно
- Видає
- Викуп
- вимагачів
- Вимагальні програми
- Ребрендинг
- отримання
- останній
- рекомендувати
- райони
- звільнити
- віддалений
- звітом
- Повідомляється
- Звітність
- Дослідники
- відповідно
- Реагувати
- королівський
- s
- Зазначений
- шахрайство
- сцена
- огляд
- другий
- безпеку
- відправка
- Вересень
- Послуги
- комплект
- акції
- показав
- значний
- аналогічний
- з
- So
- Софтвер
- деякі
- скоро
- складний
- витонченість
- Source
- конкретний
- Spot
- Зміцнювати
- удар
- успішний
- такі
- Systems
- тактика
- Мітчики
- цільове
- націлювання
- команда
- Тестування
- ніж
- Що
- Команда
- їх
- Їх
- потім
- це
- загроза
- через
- Таким чином
- до
- інструмент
- інструменти
- трафік
- Навчання
- лікування
- Вівторок
- Зрештою
- створеного
- Оновити
- us
- Федеральний США
- використовує
- використання
- варіант
- різноманітний
- через
- Жертва
- жертви
- Віртуальний
- VPN
- Уразливості
- було
- шлях..
- способи
- ДОБРЕ
- який
- windows
- з
- без
- світовий
- рік
- зефірнет