Les Etats Unis. Département de la santé et des services sociaux (HHS) a publié un avertissement concernant les attaques de rançongiciels Royal en cours qui ciblent les organisations de santé dans le pays.
Ce que l'on sait des attaques Royal Ransomware?
Royal ransomware est un ransomware moins connu qui a été observé pour la première fois en septembre 2022. En plus d'exiger une rançon d'un montant de $250,000 Americains. dollars (USD) terminer $2 million USD, le groupe prétend également voler des données pour attaques à double extorsion. Il semble que le groupe n'opère pas selon le modèle du rançongiciel en tant que service, mais plutôt comme un groupe privé. Le scénario d'attaque inclut généralement une charge utile Cobalt Strike supplémentaire pour la persistance, informations d'identification de récolte, et se déplaçant latéralement à travers un système infecté.
"Royal est une opération qui semble être composée d'acteurs expérimentés d'autres groupes, car il y a eu des éléments observés d'opérations précédentes de ransomware,» selon l'alerte. Il semble qu'au départ, l'opération de ransomware utilisée Chat noir, mais a finalement commencé à utiliser Zeon. La note de ransomware identifiée dans ces attaques semblait être similaire à Comptes ransomware. Comme on le voit dans la plupart des attaques de ransomware, les notes de rançon viennent dans un fichier README.TXT, contenant un lien vers la page de négociation privée de la victime. La note a ensuite été changée en Royal en septembre 2022, le HHS dit.
Actuellement, plusieurs acteurs de la menace distribuent le rançongiciel Royal, y compris un groupe connu sous le nom de DEV-0569. "Le groupe a livré le malware avec des attaques opérées par l'homme et a fait preuve d'innovation dans ses méthodes en utilisant de nouvelles techniques, tactiques d'évasion, et charges utiles post-compromis,» notait l'alerte. Un rapport de Microsoft indique également que le groupe a commencé à utiliser la publicité malveillante dans les annonces Google., utiliser le forum de contact d'une cible pour contourner les protections de messagerie, et mettre des installateurs malveillants sur des sites de logiciels et des référentiels.