Το FBI και η CISA αποκάλυψαν ότι η συμμορία πίσω από το Royal ransomware έχει παραβιάσει τα δίκτυα τουλάχιστον 350 οργανισμών, από τον Σεπτέμβριο του 2022. Επίσης, οι δύο υπηρεσίες σημείωσαν ότι η επιχείρηση ransomware έχει λάβει περισσότερα από 275 εκατομμύρια δολάρια από τα θύματα.
“Από τον Σεπτέμβριο του 2022, η Royal έχει στοχεύσει πάνω από 350 γνωστά θύματα σε όλο τον κόσμο και οι απαιτήσεις λύτρων έχουν ξεπεράσει τα 275 εκατομμύρια δολάρια“, αναφέρει η έκθεση.
“Η Royal εκτελεί κλοπή δεδομένων και εκβιασμό πριν από την κρυπτογράφηση και στη συνέχεια δημοσιεύει δεδομένα θυμάτων σε ιστότοπο διαρροής δεδομένων, εάν δεν πληρωθούν λύτρα. Τα Phishing emails είναι από τα πιο επιτυχημένα μέσα που χρησιμοποιούνται από τους Royal hackers για την αρχική πρόσβαση (στα δίκτυα)“.
Δείτε επίσης: Το Royal ransomware επεκτείνει γρήγορα τη βασιλεία του
Πριν από μερικούς μήνες, το FBI και η CISA μοιράστηκαν για πρώτη φορά δείκτες παραβίασης και μια λίστα τακτικών, τεχνικών και διαδικασιών (TTP) για να βοηθήσουν τους υπερασπιστές δικτύων να εντοπίσουν και να μπλοκάρουν προσπάθειες ανάπτυξης Royal ransomware payloads στα δίκτυά τους.
Οι δύο υπηρεσίες είχαν δημοσιεύσει αυτά τα δεδομένα, αφού η ομάδα ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) αποκάλυψε τον Δεκέμβριο του 2022 ότι η επιχείρηση ransomware βρισκόταν πίσω από επιθέσεις εναντίον οργανισμών υγειονομικής περίθαλψης στις ΗΠΑ.
Royal – BlackSuit;
Στη νέα ενημέρωση των FBI και CISA αναφέρεται ότι το Royal ransomware θα μπορούσε να δοκιμάζει μια αλλαγή επωνυμίας ή/και μια παραλλαγή spinoff, αφού βρέθηκε ότι το BlackSuit encryptor παρουσιάζει πολλά κοινά χαρακτηριστικά κώδικα με τον παραδοσιακό Royal encryptor.
Το BleepingComputer ανέφερε τον Ιούνιο ότι η συμμορία Royal ransomware δοκίμαζε έναν νέο BlackSuit encryptor. Ωστόσο, ενώ πιστευόταν ότι η λειτουργία του Royal ransomware θα μετονομαζόταν σε BlackSuit, αυτό δεν συνέβη ποτέ. Η συμμορία Royal εξακολουθεί να λέγεται έτσι και να στοχεύει ενεργά επιχειρηματικούς οργανισμούς που χρησιμοποιούν το BlackSuit σε περιορισμένες επιθέσεις.
Δεδομένου ότι το BlackSuit είναι μια αυτόνομη λειτουργία, η Royal μπορεί να σχεδιάζει να δημιουργήσει μια υποομάδα που θα επικεντρώνεται σε συγκεκριμένους τύπους θυμάτων. Η αλλαγή επωνυμίας δεν θα είχε πλέον νόημα, αφού αυτό γίνεται συνήθως όταν οι hackers θέλουν να κρύψουν τα ίχνη τους, αλλά τώρα γνωρίζουμε ήδη ότι υπάρχουν ομοιότητες μεταξύ των δύο encryptors.
Conti Ransomware
Το Royal Ransomware είναι μια ιδιωτική επιχείρηση στην οποία συμμετέχουν hackers με πολλές γνώσεις και δεξιότητες. Λέγεται ότι οι συγκεκριμένοι hackers είχαν συνεργαστεί προηγουμένως με τη γνωστή συμμορία ransomware Conti.
Δείτε επίσης: Η ομάδα Hunters International χρησιμοποιεί τον source code και την υποδομή του Hive ransomware
Το Royal Ransomware εντοπίστηκε για πρώτη φορά τον Ιανουάριο του 2022, όμως οι κακόβουλες δραστηριότητές του αυξήθηκαν τον Σεπτέμβριο του ίδιου έτους. Ενώ αρχικά χρησιμοποιήθηκαν ransomware encryptors από άλλες λειτουργίες όπως το ALPHV/BlackCat, η συμμορία από τότε έχει στραφεί στην ανάπτυξη των δικών της εργαλείων.
Ο πρώτος encryptor τους, ο Zeon, άφηνε σημειώματα λύτρων που θύμιζαν εκείνα της συμμορίας Conti, ωστόσο στα μέσα Σεπτεμβρίου 2022, οι hackers άρχισαν να χρησιμοποιούν τον Royal encryptor. Πιο πρόσφατα, το κακόβουλο λογισμικό αναβαθμίστηκε για να κρυπτογραφεί και συσκευές Linux σε επιθέσεις που στοχεύουν VMware ESXi virtual machines.
Παρόλο που συνήθως διεισδύουν στα δίκτυα των στόχων εκμεταλλευόμενοι ευπάθειες ασφαλείας σε συσκευές προσβάσιμες στο κοινό, οι Royal operators είναι επίσης γνωστοί για επιθέσεις callback phishing.
Ο τρόπος λειτουργίας των Royal operators περιλαμβάνει την κλοπή δεδομένων, την κρυπτογράφηση των εταιρικών συστημάτων των στόχων τους και την απαίτηση λύτρων που κυμαίνονται από 250.000 $ έως δεκάδες εκατομμύρια δολάρια ανά επίθεση.
Δείτε επίσης: Η συμμορία LockBit ransomware διέρρευσε δεδομένα της Boeing
Μέτρα προστασίας
• Χρήση αξιόπιστων και εξελιγμένων antivirus λογισμικών
• Δημιουργία αντιγράφων ασφαλείας, ειδικά για τα βασικά αρχεία
• Τακτική ενημέρωση συστημάτων, εφαρμογών και antivirus προγραμμάτων
• Εκπαίδευση υπαλλήλων, ώστε να αναγνωρίζουν ύποπτα emails
• Χρήση φίλτρων για αυτόματο μπλοκάρισμα ύποπτων emails
• Χρήση firewall και VPN
• Τμηματοποίηση δικτύου
Οι παραπάνω πρακτικές ασφαλείας μπορούν να προστατεύσουν σε ένα βαθμό τους χρήστες και τις επιχειρήσεις από διάφορες επιθέσεις στον κυβερνοχώρο. Σε περίπτωση, όμως, που πέσει κάποιος θύμα ransomware επίθεσης (π.χ. Royal), το βασικό στοιχείο είναι ένα. Να μην πληρώσει τα λύτρα και να απευθυνθεί στις αρμόδιες αρχές. Οι επιτιθέμενοι δεν είναι άτομα που μπορεί να εμπιστευτεί κάποιος. Ακόμα και αν πληρωθούν τα λύτρα, δεν είναι σίγουρο ότι οι εγκληματίες δεν θα διαρρεύσουν τα κλεμμένα δεδομένα ή ότι θα δώσουν στο θύμα το κλειδί αποκρυπτογράφησης.
Πηγή: www.bleepingcomputer.com
