CISA und das FBI haben eine gemeinsame Empfehlung herausgegeben, in der sie die zunehmende Bedrohung hinter den laufenden Royal-Ransomware-Angriffen hervorheben, die auf viele US-kritische Infrastruktursektoren abzielen, darunter Gesundheitswesen, Kommunikation und Bildung.
Dies folgt einer Empfehlung des Ministeriums für Gesundheit und menschliche Dienste (HHS), dessen Sicherheitsteam im Dezember 2022 enthüllte, dass die Ransomware-Operation mit mehreren Angriffen auf US-Gesundheitsorganisationen in Verbindung gebracht wurde.
Als Antwort darauf die FBI und CISA geteilt Kompromittierungsindikatoren und eine Liste von verknüpften Taktiken, Techniken und Verfahren (TTPs), die Verteidigern helfen würden, Versuche zu erkennen und zu blockieren, Royal Ransomware-Nutzlasten in ihren Netzwerken einzusetzen.
„CISA ermutigt Netzwerkverteidiger, die CSA zu überprüfen und die darin enthaltenen Schadensbegrenzungen anzuwenden“, so die US-Cybersicherheitsbehörde genannt am Donnerstag.
Die Bundesbehörden fordern alle Organisationen auf, die gefährdet sind, gezielt angegriffen zu werden, konkrete Schritte zu unternehmen, um sich gegen die zunehmende Ransomware-Bedrohung zu schützen.
Um die Netzwerke ihrer Organisationen zu schützen, können Unternehmensadministratoren damit beginnen, die Behebung aller bekannten Schwachstellen zu priorisieren, die Angreifer bereits ausgenutzt haben.
Von entscheidender Bedeutung ist auch die Schulung der Mitarbeiter, Phishing-Versuche effektiv zu erkennen und zu melden. Die Cybersicherheitsabwehr kann weiter verstärkt werden, indem die Multi-Faktor-Authentifizierung (MFA) aktiviert und durchgesetzt wird, wodurch es für Angreifer viel schwieriger wird, auf sensible Systeme und Daten zuzugreifen.
Proben, die zur Analyse an die ID-Ransomware-Plattform übermittelt wurden, zeigen, dass die auf Unternehmen abzielende Bande seit Ende Januar zunehmend aktiv ist, was die enormen Auswirkungen dieser Ransomware-Operation auf ihre Opfer zeigt.
Anfrage nach königlichen Vorfallberichten
Auch wenn das FBI sagt, dass die Zahlung von Lösegeld wahrscheinlich andere Cyberkriminelle ermutigen wird, sich den Angriffen anzuschließen, werden die Opfer aufgefordert, Vorfälle mit Royal-Ransomware ihrer örtlichen FBI-Außenstelle oder CISA zu melden, unabhängig davon, ob sie ein Lösegeld gezahlt haben oder nicht.
Alle zusätzlichen Informationen helfen dabei, wichtige Daten zu sammeln, die erforderlich sind, um die Aktivitäten der Ransomware-Gruppe zu verfolgen, weitere Angriffe zu stoppen oder die Angreifer für ihre Handlungen zur Rechenschaft zu ziehen.
Royal Ransomware ist ein privates Unternehmen, das sich aus äußerst erfahrenen Bedrohungsakteuren zusammensetzt, die dafür bekannt sind, zuvor mit der berüchtigten Conti-Cyberkriminalitätsbande zusammengearbeitet zu haben. Ihre bösartigen Aktivitäten haben erst seit September sprunghaft zugenommen, obwohl sie erstmals im Januar 2022 entdeckt wurden.
Obwohl sie ursprünglich Verschlüsselungen von anderen Unternehmen wie BlackCat eingesetzt haben, sind sie inzwischen dazu übergegangen, ihre eigenen zu verwenden.
Das erste war Zeon, das Lösegeldforderungen generierte, die denen von Conti ähnelten, aber sie wechselten Mitte September zu einem neuen Verschlüsseler, nachdem sie in „Royal“ umbenannt wurden.
Die Malware wurde kürzlich aktualisiert, um Linux-Geräte zu verschlüsseln, die speziell auf virtuelle VMware ESXi-Maschinen abzielen.
Königliche Betreiber verschlüsseln die Unternehmenssysteme ihrer Ziele und fordern saftige Lösegeldzahlungen zwischen 250.000 US-Dollar und mehreren zehn Millionen Dollar pro Angriff.
Diese Ransomware-Operation hebt sich auch durch ihre Social-Engineering-Taktiken von der Masse ab, um Opfer von Unternehmen dazu zu verleiten, im Rahmen von Callback-Phishing-Angriffen Fernzugriffssoftware zu installieren, bei der sie vorgeben, Softwareanbieter und Lebensmittellieferdienste zu sein.
Darüber hinaus wendet die Gruppe eine einzigartige Strategie an, um gehackte Twitter-Konten zu nutzen, um Einzelheiten über kompromittierte Ziele an Journalisten zu twittern, in der Hoffnung, Berichterstattung zu gewinnen und weiteren Druck auf ihre Opfer auszuüben.
Diese Tweets enthalten einen Link zu durchgesickerten Daten, die die Gruppe angeblich aus den Netzwerken der Opfer gestohlen hat, bevor sie sie verschlüsselt hat.
wpDiscuz