Ny Royal Ransomware er rettet mod USA. Sundhedsorganisationer

USA. Department of Health and Human Services (HHS) har udgivet en advarsel om igangværende Royal ransomware-angreb, der er rettet mod sundhedsorganisationer i landet.

Hvad er kendt om Royal Ransomware-angrebene?

Royal ransomware er en mindre kendt ransomware, der først blev observeret i september 2022. Ud over at kræve en løsesum på $250,000 US. Dollars (USD) til over $2 million USD, gruppen hævder også at stjæle data for dobbeltafpresningsangreb. Det ser ud til, at gruppen ikke opererer under ransomware-as-a-service-modellen, men snarere er en privat gruppe. Angrebsscenariet inkluderer normalt en ekstra Cobalt Strike-nyttelast for persistens, høstlegitimation, og bevæger sig sideværts gennem et inficeret system.

”Royal er en operation, der ser ud til at bestå af erfarne skuespillere fra andre grupper, da der er blevet observeret elementer fra tidligere ransomware-operationer," ifølge advarslen. Det ser ud til, at ransomware-operationen oprindeligt blev brugt Sort kat, men begyndte til sidst at bruge Zeon. Ransomware-notatet, der blev identificeret i disse angreb, så ud til at ligne Konti ransomware. Som det ses i de fleste ransomware-angreb, løsesumsedlerne kommer i en README.TXT, indeholdende et link til ofrets private forhandlingsside. Sedlen blev senere ændret til Royal i september 2022, HHS sagde.

I øjeblikket, flere trusselsaktører distribuerer Royal ransomware, herunder en gruppe kendt som DEV-0569. "Gruppen har leveret malwaren med menneskestyrede angreb og har vist innovation i deres metoder ved at bruge nye teknikker, undvigelsestaktik, og nyttelast efter kompromis,” noterede advarslen. En rapport fra Microsoft sagde også, at gruppen er begyndt at bruge malvertising i Google-annoncer, ved at bruge et måls kontaktforum til at omgå e-mail-beskyttelse, og placere ondsindede installatørpiger på softwarewebsteder og -depoter.