Ngày 03 tháng 3 năm 2023Ravie Lakshmanan Bảo mật điểm cuối / Ransomware
Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) đã đưa ra một lời khuyên mới về phần mềm tống tiền Royal ransomware, đã xuất hiện trong bối cảnh các mối đe dọa vào năm ngoái.
CISA cho biết: “Sau khi có quyền truy cập vào mạng của nạn nhân, những kẻ tấn công Royal đã vô hiệu hóa phần mềm chống vi-rút và lọc một lượng lớn dữ liệu trước khi triển khai ransomware và mã hóa hệ thống.
Chương trình ransomware tùy chỉnh, đã nhắm mục tiêu vào các tổ chức quốc tế và Hoa Kỳ kể từ tháng 9 năm 2022, được cho là đã phát triển từ các lần lặp lại trước đó được đặt tên là Zeon.
Hơn nữa, nó được cho là do những kẻ đe dọa dày dạn kinh nghiệm vận hành, từng là thành viên của Conti Team One, công ty an ninh mạng Trend Micro tiết lộ vào tháng 12 năm 2022.
Nhóm ransomware sử dụng gọi lại lừa đảo như một phương tiện để phân phối ransomware của chúng cho nạn nhân, một kỹ thuật được các nhóm tội phạm tách khỏi doanh nghiệp Conti áp dụng rộng rãi vào năm ngoái sau khi nó ngừng hoạt động.
Các chế độ truy cập ban đầu khác bao gồm giao thức máy tính từ xa (RDP), khai thác các ứng dụng công khai và thông qua các nhà môi giới truy cập ban đầu (IAB).
Yêu cầu tiền chuộc do Royal đưa ra dao động từ 1 triệu đô la đến 11 triệu đô la, với các cuộc tấn công nhắm vào nhiều lĩnh vực quan trọng, bao gồm truyền thông, giáo dục, chăm sóc sức khỏe và sản xuất.
CISA lưu ý: “Royal ransomware sử dụng phương pháp mã hóa một phần duy nhất cho phép tác nhân đe dọa chọn một tỷ lệ phần trăm dữ liệu cụ thể trong một tệp để mã hóa”. “Cách tiếp cận này cho phép tác nhân giảm tỷ lệ phần trăm mã hóa cho các tệp lớn hơn, giúp tránh bị phát hiện.”
Cơ quan an ninh mạng cho biết nhiều máy chủ chỉ huy và kiểm soát (C2) được liên kết với Qakbot đã được sử dụng trong các cuộc xâm nhập của phần mềm tống tiền Royal, mặc dù hiện tại vẫn chưa xác định được liệu phần mềm độc hại có độc quyền dựa trên cơ sở hạ tầng Qakbot hay không.
Các cuộc xâm nhập cũng được đặc trưng bởi việc sử dụng Cobalt Strike và PsExec để di chuyển ngang cũng như xóa các bản sao ẩn để ngăn chặn quá trình khôi phục hệ thống. Cobalt Strike cũng được sử dụng lại để tổng hợp và lọc dữ liệu.
Kể từ tháng 2 năm 2023, phần mềm tống tiền Royal có khả năng nhắm mục tiêu vào cả môi trường Windows và Linux. Nó đã được liên kết với 19 cuộc tấn công chỉ trong tháng 1 năm 2023, xếp sau LockBit, ALPHV và Vice Society.
