Η ομάδα Royal ransomware έχει εύστοχη ονομασία καθώς έχει έναν αέρα ανωτερότητας στον τρόπο με τον οποίο κοροϊδεύει τα θύματά της. Τα μέλη της Royal είναι η αφρόκρεμα των κυβερνοεγκληματιών και το γνωρίζουν.
Η έπαρση της ομάδας είναι εμφανής σε ένα σημείωμα λύτρων README.txt που έκανε drop σε ένα από τα θύματά της και το οποίο αποκτήθηκε από τη Unit 42 της Palo Alto Networks.
«Πιθανότατα αυτό που συνέβη ήταν ότι αποφασίσατε να εξοικονομήσετε χρήματα στην υποδομή ασφαλείας σας», αναφέρει το σημείωμα. «Δυστυχώς, ως αποτέλεσμα τα κρίσιμα δεδομένα σας όχι μόνο κρυπτογραφήθηκαν αλλά και αντιγράφηκαν από τα συστήματά σας».
Η Royal έχει γίνει όλο και πιο δραστήρια φέτος, χρησιμοποιώντας μια μεγάλη ποικιλία εργαλείων, καθώς στοχεύει επιθετικά σε οργανισμούς ζωτικής σημασίας για τις υποδομές.
Σε μια ανάρτηση που δημοσιεύτηκε την Τρίτη, η Unit 42 ανέφερε ότι, σύμφωνα με την ιστοσελίδα διαρροής της Royal, η ομάδα ήταν υπεύθυνη για τις επιθέσεις σε 157 οργανισμούς από την ίδρυσή της το προηγούμενο έτος.
Έμφαση στις υποδομές ζωτικής σημασίας
Κατά τη διάρκεια λίγων μηνών πέρυσι, η ομάδα καυχιόταν ότι είχε επηρεάσει 14 παραγωγικούς οργανισμούς. Ισχυρίστηκε ότι έχει στοχεύσει περαιτέρω 26 μεταποιητικούς οργανισμούς μέχρι στιγμής φέτος.
Από την ίδρυσή της, η Royal έχει πλήξει οκτώ οργανισμούς υγειονομικής περίθαλψης και το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ εξέδωσε προειδοποίηση τον Ιανουάριο σχετικά με την απειλή που το ransomware του αποτελεί για τον τομέα της υγειονομικής περίθαλψης.
Έχουν επίσης σημειωθεί επτά επιθέσεις εναντίον φορέων τοπικής αυτοδιοίκησης στις ΗΠΑ και την Ευρώπη, συμπεριλαμβανομένης της πρόσφατης επίθεσης στην πόλη του Ντάλας.
Έχει επηρεάσει δεκατέσσερις οργανισμούς στον τομέα της εκπαίδευσης, συμπεριλαμβανομένων σχολικών περιφερειών και πανεπιστημίων, με τέσσερα από αυτά τα ιδρύματα να έχουν πληγεί μόνο τις πρώτες ημέρες αυτού του μήνα.
Τα περισσότερα από τα θύματα της Royal (64%) βρίσκονται στις ΗΠΑ, ενώ οι καναδικοί οργανισμοί είναι ο δεύτερος πιο δημοφιλής στόχος της (9%).
Το εύρος των επιθέσεων της Royal μέχρι σήμερα “καταδεικνύει τη δυνατότητα ευρύτερων και σοβαρότερων συνεπειών”, προειδοποιεί η Unit 42.
Δείτε επίσης: Κωδικοί πρόσβασης: Οι χρήστες συνεχίζουν να τους χρησιμοποιούν παρά τους κινδύνους
Χειριστές με πολυετή πείρα
Ενώ το Royal ransomware εντοπίστηκε για πρώτη φορά να θέτει σε κίνδυνο συστήματα και να χρησιμοποιεί πολλαπλούς εκβιασμούς για να πιέσει τα θύματα τον Σεπτέμβριο του 2022, συνδέθηκε με μια προηγούμενη οικογένεια ransomware με την ονομασία Zeon, η οποία είχε εμφανιστεί εννέα μήνες νωρίτερα.
Οι ερευνητές της Unit 42 λένε ότι είναι πιθανό τα περισσότερα μέλη της Royal να είναι πρώην μέλη της ομάδας Conti ransomware.
Η Royal είναι γνωστό ότι απαιτεί λύτρα ύψους έως και 25 εκατομμυρίων δολαρίων σε Bitcoin, και η τακτική της ομάδας περιλαμβάνει την αξιοποίηση της ιστοσελίδας διαρροής της για να εκβιάζει δημόσια τα θύματα να πληρώσουν.
Η ομάδα ήταν ενεργή στο Twitter μέχρι που ο λογαριασμός της ανεστάλη πρόσφατα. Συχνά χρησιμοποιούσε την πλατφόρμα για να ανακοινώνει τις παραβιάσεις της, αναφέροντας τα θύματα στις αναρτήσεις της.
Σε αντίθεση με μεγάλες ομάδες ransomware, όπως η LockBit 3.0, οι οποίες συνήθως λειτουργούν ένα σύστημα ransomware-as-a-service προσλαμβάνοντας συνεργάτες και προωθώντας το μοντέλο RaaS, η Unit 42 λέει ότι δεν έχει παρατηρήσει τη Royal να ακολουθεί αυτή την προσέγγιση.
Δείτε επίσης: Η νέα PhaaS «Greatness» απλοποιεί τις επιθέσεις phishing Microsoft 365
Στοιχεία της αλυσίδας μόλυνσης Royal
Η ομάδα έχει παρατηρηθεί ότι χρησιμοποιεί πολλαπλούς αρχικούς φορείς πρόσβασης για να αποκτήσει πρόσβαση σε ευάλωτα συστήματα, όπως phishing με callbacks, SEO poisoning, εκτεθειμένους λογαριασμούς του πρωτοκόλλου Remote Desktop Protocol και παραβιασμένα διαπιστευτήρια.
Μόλις εξασφαλιστεί η πρόσβαση, η ομάδα χρησιμοποιεί πολλαπλά εργαλεία για να υποστηρίξει την επιχείρηση εισβολής, συμπεριλαμβανομένου του εργαλείου tunnel TCP/UDP Chisel και του εργαλείου query Active Directory AdFind.
Η Royal έχει παρατηρηθεί να παραβιάζει τα θύματα μέσω μιας μόλυνσης από BATLOADER, την οποία οι απειλητικοί παράγοντες συνήθως εξαπλώνουν μέσω SEO poisoning. Στη συνέχεια, το BATLOADER θα προσπαθήσει να πραγματοποιήσει λήψη περαιτέρω ωφέλιμων φορτίων στο μολυσμένο μηχάνημα, όπως VidarStealer, Ursnif/ISFB και Redline Stealer, μαζί με νόμιμα εργαλεία όπως το εργαλείο διαχείρισης συστήματος NSudo και το εργαλείο απομακρυσμένης παρακολούθησης και διαχείρισης Syncro (RMM). Το πιο σημαντικό, το BATLOADER συχνά φορτώνει το Cobalt Strike, συχνά προπομπό της διανομής ransomware.
Οι ερευνητές της Unit 42 παρατήρησαν ότι οι χειριστές της Royal χρησιμοποιούν το PowerTool, ένα λογισμικό που έχει πρόσβαση στον kernel και είναι ιδανικό για την αφαίρεση endpoint security software. Οι χειριστές έχουν επίσης παρατηρηθεί να εκτελούν batch scripts για να απενεργοποιούν υπηρεσίες που σχετίζονται με την ασφάλεια, καθώς και να διαγράφουν shadow file copies και αρχεία καταγραφής μετά την επιτυχή διαρροή.
Δείτε επίσης: Οι ΗΠΑ λένε ότι διέλυσαν το ρωσικό δίκτυο κυβερνοκατασκοπείας Snake
Πλευρική κίνηση μέσω του συστήματος του θύματος
Η Royal χρησιμοποιεί το λογισμικό εντοπισμού δικτύου NetScan για να εντοπίσει και να χαρτογραφήσει διάφορους συνδεδεμένους πόρους υπολογιστών. Έχει επίσης παρατηρηθεί ότι χρησιμοποιεί το PsExec για να πραγματοποιεί πλευρικές μετακινήσεις εντός μολυσμένων περιβαλλόντων.
Όπως και άλλοι χειριστές ransomware, χρησιμοποιεί διάφορα δημοφιλή νόμιμα λογισμικά απομακρυσμένης διαχείρισης για να διατηρεί πρόσβαση στο μολυσμένο περιβάλλον. Εντοπίστηκε και η χρήση του Cobalt Strike και των συναφών beacon για εντολές και έλεγχο.
Πηγή πληροφοριών: scmagazine.com
