Američka agencija za kibernetičku bezbjednost i bezbjednost infrastrukture (CISA) objavila je novi savjet o Royal ransomware-u, koji se pojavio kao pretnja prošle godine.
“Nakon što dobiju pristup mrežama žrtava, hakeri onemogućuju antivirusni softver i eksfiltriraju velike količine podataka prije nego što konačno implementiraju ransomware i šifruju sisteme” kaže CISA.
Vjeruje se da je prilagođeni ransomware program, koji je od septembra 2022. godine ciljao na američke i međunarodne organizacije, evoluirao iz ranijih iteracija koje su nazvane Zeon.
Štaviše, sumnja se da njime upravljaju iskusni hakeri koji su nekada bili dio Conti Team One, kompanije za kibernetičku bezbjednost Trend Micro koja je otkrivena u decembru 2022. godine.
Grupa za ransomware koristi phishing povratnog poziva kao sredstvo za isporuku svog ransomware-a žrtvama, tehniku koju su široko usvojile kriminalne grupe koje su se odvojile od kompanije Conti prošle godine nakon njenog zatvaranja.
Drugi načini inicijalnog pristupa uključuju protokol udaljene radne površine (RDP), eksploataciju javnih aplikacija i preko posrednika za početni pristup (IAB).
Zahtjevi za otkupninu koje postavlja Royal variraju od 1 do 11 miliona dolara, a napadi ciljaju različite kritične sektore, uključujući komunikacije, obrazovanje, zdravstvo i proizvodnju.
“Royal ransomware koristi jedinstveni pristup djelomičnog šifrovanja koji omogućava hakeru da odabere određeni postotak podataka u datoteci za šifrovanje” napominje CISA. “Ovaj pristup omogućava hakeru da smanji postotak šifrovanja za veće datoteke, što pomaže izbjeći otkrivanje.”
Agencija za kibernetičku bezbjednost je rekla da su višestruki serveri za komandu i kontrolu (C2) povezani s Qakbot-om korišteni u Royal ransomware upadima, iako je trenutno neutvrđeno da li se maliciozni softver isključivo oslanja na Qakbot infrastrukturu.
Upade karakteriše i upotreba Cobalt Strike-a i PsExec-a za lateralno kretanje, kao i oslanjanje na Windows Volume Shadow Copy Service za brisanje shadow kopija kako bi se spriječio oporavak sistema. Cobalt Strike je dalje prenamijenjen za agregaciju i eksfiltraciju podataka.
Od februara 2023. godine, Royal ransomware može ciljati i Windows i Linux okruženja. Povezan je sa 19 napada samo u januaru 2023. godine, što ga stavlja iza LockBit-a, ALPHV-a i Vice Society-a.
Izvor: The Hacker News
