Роял (кибербанда)

Королевский
Формирование	2022
Тип	Взлом
Цель	Деньги

Royal — это киберпреступная организация , занимающаяся программами-вымогателями, известная своей агрессивной направленностью, высокими требованиями о выкупе и использованием двойного вымогательства (при котором скомпрометированные данные не только шифруются , но и удаляются ). Royal не использует филиалы .

Royal нацелена на широкий спектр отраслей, включая здравоохранение, финансы и критически важную инфраструктуру . Требования группировки о выкупе варьируются от 250 000 до более чем 2 миллионов долларов.

Описание

Группа разработчиков программы-вымогателя Royal — это опытная и квалифицированная группа, которая использует сочетание старых и новых методов. Они используют фишинг с обратным вызовом , чтобы обманом заставить жертв загрузить для удаленного рабочего стола вредоносное ПО , что позволяет злоумышленникам легко проникнуть на компьютер жертвы. Сообщается, что Royal является частной группой без каких-либо филиалов. ^{[ 1 ]}

Программа-вымогатель Royal использует уникальный подход к шифрованию, позволяющий злоумышленнику выборочно шифровать определенный процент данных в файле. Поступая таким образом, злоумышленник может снизить процент шифрования для файлов большего размера, что затруднит обнаружение его вредоносной деятельности. Помимо шифрования файлов, члены королевской семьи также используют тактику двойного вымогательства: они угрожают публично обнародовать зашифрованные данные, если жертва не заплатит требуемый выкуп. ^{[ 2 ]} Кроме того, они используют прерывистое шифрование, чтобы ускорить процесс шифрования файлов жертвы, избегая при этом обнаружения системами, которые отслеживают тяжелые операции ввода-вывода файлов . ^{[ 1 ]}

Группа вымогателей Royal не только попала в заголовки газет, но и продемонстрировала способность быстро адаптироваться к новой тактике. Они разработали варианты на базе Linux и расширили свои цели, включив в них серверы ESXi, что может оказать существенное влияние на пострадавшие корпоративные центры обработки данных и виртуализированные хранилища. ^{[ 1 ]}

Цели

По данным Trend Micro , основной целью программы-вымогателя Royal являются США, за ними следует Бразилия. Большинство организаций-жертв, пострадавших от программы-вымогателя Royal, представляли собой предприятия малого и среднего бизнеса, и лишь небольшая часть — крупные предприятия. ^{[ 1 ]}

По данным CISA , атаки программ-вымогателей Royal были нацелены на различные секторы критически важной инфраструктуры, включая химическую промышленность, связь, критически важное производство, плотины, оборонно-промышленные базы, финансовые услуги, службы экстренной помощи, здравоохранение, ядерные реакторы, секторы отходов и материалов. ^{[ 2 ]}^{[ 1 ]}

ТТП ATT&CK

США В 2023 году Федеральное бюро расследований (ФБР) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) совместно выпустили рекомендацию, содержащую информацию о тактике, методах и процедурах программы-вымогателя Royal (TTP), а также индикаторах компрометации (IOC), чтобы помочь организации защищаются от таких атак. ^{[ 2 ]}^{[ 1 ]}

Чтобы получить первоначальный доступ к сетям жертв, члены королевской семьи используют различные методы. Одним из распространенных методов является использование фишинговых писем, на которые приходится около 66,7% инцидентов. Жертвы неосознанно устанавливают вредоносное ПО, которое доставляет программу-вымогатель Royal, после перехода по ссылкам или открытия вредоносных PDF-документов в этих фишинговых письмах. Другой метод — компрометация протокола удаленного рабочего стола (RDP), на который приходится 13,3% инцидентов. Члены королевской семьи также используют уязвимости в общедоступных приложениях для получения первоначального доступа. Есть сообщения, предполагающие, что члены королевской семьи также могут использовать брокеров для получения доступа, собирая учетные данные VPN из украденных журналов. ^{[ 2 ]}

Попав в сеть, участники Royal взаимодействуют с инфраструктурой управления и контроля (C2) и загружают множество инструментов для усиления своего присутствия. Они часто перепрофилируют легальное программное обеспечение Windows, чтобы еще больше защитить свое положение в сети жертвы. Было замечено, что члены королевской семьи использовали Chisel, инструмент туннелирования, передаваемый по HTTP и защищенный через SSH, для связи со своей инфраструктурой C2. Хотя в атаках программы-вымогателя Royal было обнаружено несколько Qakbot C2, еще предстоит определить, использует ли программа-вымогатель Royal исключительно их. ^{[ 2 ]}

Для горизонтального перемещения по сети субъекты Royal часто используют RDP. Также известно, что для этой цели они использовали инструмент Microsoft Sysinternals PsExec. В некоторых случаях они используют программное обеспечение для удаленного мониторинга и управления (RMM), такое как AnyDesk, LogMeIn и Atera, для обеспечения постоянного присутствия в сети жертвы. Эти субъекты даже расширили свой доступ к контроллеру домена, где они деактивируют антивирусные протоколы, изменяя объекты групповой политики. ^{[ 2 ]}

Во время эксфильтрации члены королевской семьи переназначают законные инструменты кибер-тестирования, такие как Cobalt Strike, а также вредоносные программы, такие как Ursnif/Gozi, для агрегирования и кражи данных из сетей жертв. Было отмечено, что их первоначальный переход при эксфильтрации и других операциях часто предполагает использование IP-адреса в США. Примечательно, что в декабре 2022 года по адресу IP: 94.232.41[.]105 был идентифицирован репозиторий инструментов, используемый Royal, который включал Cobalt Strike . ^{[ 2 ]}

Прежде чем начать процесс шифрования, члены королевской семьи используют определенные методы. Они используют диспетчер перезапуска Windows, чтобы проверить, используются ли целевые файлы или заблокированы ли они другими приложениями. Кроме того, они используют службу теневого копирования томов Windows (vssadmin.exe) для удаления теневых копий, предотвращая восстановление системы. ФБР . обнаружило на зараженных системах множество пакетных файлов (.bat), которые обычно передаются в виде зашифрованного файла 7zip Эти пакетные файлы создают нового пользователя-администратора, принудительно обновляют групповую политику, устанавливают автоматическое извлечение соответствующих ключей реестра, запускают программу-вымогатель, контролируют процесс шифрования и, в конечном итоге, удаляют файлы после завершения, включая журналы событий приложений, системы и безопасности. ^{[ 2 ]}

История

Банда действует с января 2022 года и первоначально была известна как «Зеон», а затем была переименована в «Роял». ^{[ 1 ]}

В сентябре 2022 года она привлекла внимание исследователей кибербезопасности после того, как новостной сайт опубликовал статью о кампаниях целевой атаки группы с использованием методов обратного фишинга . ^{[ 1 ]}

В своих ранних кампаниях программа-вымогатель Royal использовала инструмент шифрования под названием « BlackCat », но позже разработала собственный шифратор, который генерировал заметки о выкупе, аналогичные тем, которые использовала группа вымогателей Conti . После ребрендинга в своих записках о выкупе они использовали исключительно термин «Королевский». ^{[ 1 ]}

В четвертом квартале 2022 года программа-вымогатель Royal быстро получила признание как одна из самых плодовитых групп программ-вымогателей, уступив лишь LockBit и BlackCat . По данным сайтов утечек этих групп-вымогателей, на долю Royal пришлось 10,7% успешных атак за этот трехмесячный период. Его связь с группой вымогателей Conti , возможно, способствовала его быстрому росту на рынке программ-вымогателей. ^{[ 1 ]}

7 декабря 2022 года Министерство здравоохранения и социальных служб США (HHS) предупредило организации здравоохранения об угрозах, исходящих от программы-вымогателя Royal. В сообщениях указывается, что требования группировки о выкупе варьируются от 250 000 до более чем 2 миллионов долларов. ^{[ 1 ]}

В ноябре 2023 года ФБР и CISA предупреждают, что банда вымогателей Royal может переименоваться в BlackSuit. ^{[ 3 ]} после тестирования бандой шифровальщика BlackSuit. ^{[ 4 ]}

Ссылки

^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к «В центре внимания программы-вымогатели: Royal – Новости безопасности» . www.trendmicro.com . Проверено 11 июля 2023 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час «#StopRansomware: Royal Ransomware | CISA» . www.cisa.gov . 02.03.2023 . Проверено 11 июля 2023 г.
^ «CISA и ФБР предупреждают, что королевская банда-вымогатель может переименоваться в BlackSuit » . запись.медиа . Проверено 6 февраля 2024 г.
^ «Королевская банда вымогателей добавляет в свой арсенал шифровальщик BlackSuit» . Мигающий компьютер . Проверено 6 февраля 2024 г.

См. также

[:0-1] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к «В центре внимания программы-вымогатели: Royal – Новости безопасности» . www.trendmicro.com . Проверено 11 июля 2023 г.

[:1-2] Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час «#StopRansomware: Royal Ransomware | CISA» . www.cisa.gov . 02.03.2023 . Проверено 11 июля 2023 г.

[3] «CISA и ФБР предупреждают, что королевская банда-вымогатель может переименоваться в BlackSuit » . запись.медиа . Проверено 6 февраля 2024 г.

[4] «Королевская банда вымогателей добавляет в свой арсенал шифровальщик BlackSuit» . Мигающий компьютер . Проверено 6 февраля 2024 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]