Το FBI και η CISA αποκάλυψαν σε κοινή συμβουλή ό
τι
η συμμορία του Royal
ransomware
έχει παραβιάσει τα δίκτυα τουλάχιστον 350 οργανισμών παγκοσμίως από τον Σεπτέμβριο του 2022.
Σε μια ενημέρωση της αρχικής συμβουλευτικής που δημοσιεύθηκε τον Μάρτιο με πρόσθετες πληροφορίες που ανακαλύφθηκαν κατά τις έρευνες του FBI, οι δύο υπηρεσίες σημείωσαν επίσης ότι η επιχείρηση ransomware συνδέεται με περισσότερα από 275 εκατομμύρια δολάρια σε αιτήματα λύτρων.
«Από τον Σεπτέμβριο του 2022, η Royal έχει στοχεύσει πάνω από 350 γνωστά θύματα παγκοσμίως και οι απαιτήσεις ransomware έχουν ξεπεράσει τα 275 εκατομμύρια δολάρια», η συμβουλευτική
διαβάζει
.
“Η Royal διενεργεί διήθηση δεδομένων και εκβιασμό πριν από την κρυπτογράφηση και στη συνέχεια δημοσιεύει δεδομένα θυμάτων σε ιστότοπο
διαρροή
ς εάν δεν πληρωθούν λύτρα. Τα email ηλεκτρονικού “ψαρέματος” είναι από τα πιο επιτυχημένα μέσα για αρχική πρόσβαση από τους βασιλικούς παράγοντες απειλών.”
Τον Μάρτιο, το FBI και η CISA μοιράστηκαν για πρώτη φορά δείκτες συμβιβασμού και μια λίστα τακτικών, τεχνικών και διαδικασιών (TTP) για να βοηθήσουν τους υπερασπιστές να εντοπίσουν και να μπλοκάρουν προσπάθειες ανάπτυξης ωφέλιμων φορτίων Royal ransomware στα δίκτυά τους.
Η κοινή συμβουλευτική εκδόθηκε αφού η ομάδα ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) αποκάλυψε τον Δεκέμβριο του 2022 ότι η επιχείρηση ransomware βρισκόταν πίσω από πολλαπλές επιθέσεις εναντίον οργανισμών υγειονομικής περίθαλψης των ΗΠΑ.
Royal to BlackSuit;
Η συμβουλευτική ενημέρωση σημειώνει επίσης ότι η Royal θα μπορούσε να σχεδιάσει μια πρωτοβουλία αλλαγής επωνυμίας ή/και μια παραλλαγή spinoff, με το BlackSuit ransomware να παρουσιάζει πολλά χαρακτηριστικά κωδικοποίησης κοινά με τη Royal.
Η BleepingComputer ανέφερε τον Ιούνιο ότι η συμμορία Royal ransomware δοκιμάζει έναν νέο κρυπτογραφητή BlackSuit, ο οποίος έχει πολλές ομοιότητες με τον συνηθισμένο κρυπτογράφηση της λειτουργίας.
Ενώ πιστευόταν ότι η λειτουργία του Royal ransomware θα μετονομαζόταν από τον Μάιο, όταν εμφανίστηκε η λειτουργία ransomware BlackSuit, αυτό δεν συνέβη ποτέ. Η Royal εξακολουθεί να στοχεύει ενεργά επιχειρηματικούς οργανισμούς που χρησιμοποιούν το BlackSuit σε περιορισμένες επιθέσεις.
Δεδομένου ότι το BlackSuit είναι μια αυτόνομη λειτουργία, η Royal μπορεί να σχεδιάζει να δημιουργήσει μια υποομάδα που θα επικεντρώνεται σε συγκεκριμένους τύπους θυμάτων, καθώς μια αλλαγή επωνυμίας δεν έχει πλέον νόημα όταν ανακαλυφθούν ομοιότητες μεταξύ των δύο κρυπτογραφητών.
“Πιστεύω ότι μπορεί να δούμε περισσότερα πράγματα όπως το blacksuit σύντομα. Αλλά μέχρι στιγμής, φαίνεται ότι τόσο ο νέος φορτωτής όσο και το νέο ντουλάπι Blacksuit ήταν ένα αποτυχημένο πείραμα”, δήλωσε ο Yelisey Bohuslavskiy, Συνεργάτης και Επικεφαλής Έρευνας και Ανάπτυξης στο RedSense, στο BleepingComputer.
Συνεχίζονται οι σύνδεσμοι συμμοριών εγκλήματος στον κυβερνοχώρο
Το Royal Ransomware είναι μια ιδιωτική επιχείρηση υψηλής εξειδίκευσης ηθοποιών απειλών, γνωστών για τη συνεργασία στο παρελθόν με τη διαβόητη συμμορία του εγκλήματος στον κυβερνοχώρο
Conti
.
Παρά το γεγονός ότι εντοπίστηκαν για πρώτη φορά τον Ιανουάριο του 2022, οι κακόβουλες δραστηριότητές τους έχουν αυξηθεί μόνο σε ένταση από τον Σεπτέμβριο του ίδιου έτους.
Ενώ αρχικά χρησιμοποίησαν κρυπτογραφητές ransomware από άλλες λειτουργίες όπως το ALPHV/BlackCat, πιθανότατα για να αποφύγουν να τραβήξουν την προσοχή, η συμμορία από τότε έχει στραφεί στην ανάπτυξη των δικών της εργαλείων.
Ενώ ο πρώτος κρυπτογραφητής τους, ο Zeon, έριξε σημειώσεις λύτρων που θυμίζουν εκείνες που δημιουργήθηκαν από τον Conti, άλλαξαν στον κρυπτογράφηση Royal αφού υποβλήθηκαν σε αλλαγή επωνυμίας στα μέσα Σεπτεμβρίου 2022. Πιο πρόσφατα, το κακόβουλο λογισμικό αναβαθμίστηκε για να κρυπτογραφεί συσκευές Linux σε επιθέσεις που στοχεύουν το VMware ESXi εικονικές μηχανές.
Παρόλο που συνήθως διεισδύουν στα δίκτυα των στόχων εκμεταλλευόμενοι ευπάθειες ασφαλείας σε συσκευές προσβάσιμες στο κοινό, οι Royal operators είναι επίσης γνωστοί για επιθέσεις phishing με
επα
νάκληση.
Κατά τη διάρκεια αυτών των επιθέσεων, όταν οι στόχοι καλούν τους αριθμούς τηλεφώνου που είναι ενσωματωμένοι σε email που είναι έξυπνα μεταμφιεσμένοι ως ανανεώσεις συνδρομής, οι εισβολείς χρησιμοποιούν τακτικές κοινωνικής μηχανικής για να εξαπατήσουν τα θύματα να εγκαταστήσουν λογισμικό απομακρυσμένης πρόσβασης, παρέχοντάς τους πρόσβαση στο στοχευμένο δίκτυο.
Ο τρόπος λειτουργίας των Royal operators περιλαμβάνει την κρυπτογράφηση των εταιρικών συστημάτων των στόχων τους και την απαίτηση σημαντικών λύτρων που κυμαίνονται από 250.000 $ έως δεκάδες εκατομμύρια δολάρια ανά επίθεση.
VIA:
bleepingcomputer.com
