Ngày 12 tháng 12 năm 2022Ravie Lakshmanan Chăm sóc sức khỏe CNTT / ransomware
Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ (HHS) đã cảnh báo về các cuộc tấn công ransomware Royal đang diễn ra nhắm vào các tổ chức chăm sóc sức khỏe trong nước.
“Trong khi hầu hết các nhà khai thác ransomware đã biết đã thực hiện Ransomware-as-a-Service, Royal dường như là một nhóm tư nhân không có bất kỳ chi nhánh nào trong khi vẫn duy trì động lực tài chính như mục tiêu của họ”, Trung tâm Điều phối An ninh mạng Ngành Y tế (HC3) của cơ quan cho biết [PDF].
“Nhóm tuyên bố đánh cắp dữ liệu cho các cuộc tấn công tống tiền kép, trong đó họ cũng sẽ trích xuất dữ liệu nhạy cảm.”
Royal ransomware, theo Fortinet FortiGuard Labs, được cho là đã hoạt động ít nhất là từ đầu năm 2022. Phần mềm độc hại này là một tệp thực thi Windows 64 bit được viết bằng C++ và được khởi chạy thông qua dòng lệnh, cho thấy rằng nó cần một người vận hành để kích hoạt sự lây nhiễm sau khi có được quyền truy cập vào một môi trường được nhắm mục tiêu.
Bên cạnh việc xóa các bản sao ẩn khối lượng trên hệ thống, Royal sử dụng thư viện mật mã OpenSSL để mã hóa các tệp theo tiêu chuẩn AES và nối chúng với phần mở rộng “.royal”.
Tháng trước, Microsoft đã tiết lộ rằng một nhóm mà họ đang theo dõi có tên DEV-0569 đã được quan sát thấy đang triển khai dòng ransomware thông qua nhiều phương pháp khác nhau.
Điều này bao gồm các liên kết độc hại được gửi tới nạn nhân bằng quảng cáo độc hại, trang diễn đàn giả mạo, nhận xét trên blog hoặc qua email lừa đảo dẫn đến các tệp trình cài đặt giả mạo cho các ứng dụng hợp pháp như Microsoft Teams hoặc Zoom.
Các tệp này được biết là chứa một trình tải xuống phần mềm độc hại có tên là BATLOADER, sau đó được sử dụng để phân phối nhiều loại tải trọng khác nhau như Gozi, Vidar, BumbleBee, ngoài việc lạm dụng các công cụ quản lý từ xa chính hãng như Syncro để triển khai Cobalt Strike cho lần triển khai ransomware tiếp theo.
Nhóm ransomware, mặc dù chỉ mới xuất hiện trong năm nay, được cho là bao gồm những kẻ có kinh nghiệm từ các hoạt động khác, cho thấy bản chất không ngừng phát triển của bối cảnh mối đe dọa.
HHS cho biết: “Ban đầu, hoạt động của ransomware sử dụng bộ mã hóa của BlackCat, nhưng cuối cùng bắt đầu sử dụng Zeon, tạo ra một ghi chú ransomware được xác định là tương tự như của Conti. “Ghi chú này sau đó đã được đổi thành Royal vào tháng 9 năm 2022.”
Cơ quan này lưu ý thêm rằng các cuộc tấn công bằng mã độc tống tiền của Royal nhằm vào lĩnh vực chăm sóc sức khỏe chủ yếu tập trung vào các tổ chức ở Hoa Kỳ, với nhu cầu thanh toán từ 250.000 đến 2 triệu USD.
