ФБР і CISA заявили, що з вересня 2022 року банда програм-вимагачів Royal зламала мережі щонайменше 350 організацій по всьому світу. Про це повідомляє Bleeping Computer.
Операція з програмою-вимагачем пов’язана з вимогами викупу на суму понад $275 мільйонів.
«З вересня 2022 року Royal націлився на понад 350 відомих жертв у всьому світі, а вимоги щодо програм-вимагачів перевищили $275 мільйонів. Royal проводить викрадання даних і вимагання перед шифруванням, а потім публікує дані жертви на сайті витоку, якщо викуп не сплачено. Фішингові електронні листи є одними з найуспішніших векторів для первинного доступу з боку загрозливих акторів Royal», – йдеться у повідомленні.
У березні ФБР і CISA вперше поділилися індикаторами компрометації та переліком тактик, методів і процедур (TTP), які допоможуть виявити та заблокувати спроби розгорнути програми-вимагачі Royal.
Спільне попередження було видано після того, як у грудні 2022 року команда безпеки Департаменту охорони здоров’я та соціальних служб (HHS) виявила, що операція з програмою-вимагачем стоїть за численними атаками на організації охорони здоров’я США.
У червні Bleeping Computer повідомляв, що королівська банда програм-вимагачів тестує новий шифратор BlackSuit, який багато в чому схожий зі звичайним шифрувальником операції.
Однак з того часу Royal вдалося змінити бренд на BlackSuit. Royal також здійснив ширшу реорганізацію під час ребрендингу, зробивши структуру групи більш корпоративною та централізованою, подібно до моделі, яку вони використовували, коли були частиною синдикату Conti як Team 2 (Conti2).
Дослідник додав, що нинішня організація групи відрізняється від того, як вони діяли на початку 2023 року, коли Royal використовувала децентралізовану модель, що працює як конгломерат невеликих команд, а не один ієрархічно побудований синдикат.
Royal Ransomware – це приватна операція висококваліфікованих дійових осіб, відомих тим, що раніше працювали з сумнозвісною кіберзлочинною групою Conti.
Після відходу від Conti вони перейменувалися в програмне забезпечення-вимагач Quantum, а пізніше взяли назву Royal. Уперше їх помітили в січні 2022 року.
Хоча спочатку вони використовували шифрувальники програм-вимагачів з інших операцій, таких як ALPHV/BlackCat, щоб уникнути привернення уваги, згодом банда перейшла до розгортання власних інструментів.
Нещодавно зловмисне програмне забезпечення було оновлено для шифрування пристроїв Linux під час атак, спрямованих на VMware ESXi.
Попри те, що вони зазвичай проникають у цільові мережі, використовуючи вразливі місця в загальнодоступних пристроях, оператори Royal також відомі фішинговими атаками зворотного виклику.
Під час цих атак, коли цілі набирають телефонні номери, вбудовані в електронні листи, майстерно замасковані під оновлення підписки, зловмисники використовують тактику соціальної інженерії, щоб обманом змусити жертв встановити програмне забезпечення віддаленого доступу, щоб отримати доступ до цільової мережі.
Методи роботи хакерів включають шифрування корпоративних систем їхніх цілей і вимагання значних викупів у розмірі від $250 тисяч до десятків мільйонів за атаку.
Раніше ми повідомляли, що Microsoft виявила вразливість нульового дня SysAid, що була задіяна в атаках програм-вимагачів Clop.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!