Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
FBI, CISA und HHS warnen vor Royal Ransomware-Bandenangriffen
März 14, 2023 - TuxCare PR Team
Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben eine Warnung vor einer neuen Ransomware-Bande namens Royal Ransomware herausgegeben. Bei der Ransomware handelt es sich um eine Art von Schadsoftware, die die Computerdateien eines Opfers verschlüsselt und eine Zahlung verlangt, um sie zu entsperren. Die Royal-Ransomware funktioniert auf ähnliche Weise.
Die Warnung folgt auf eine frühere Warnung des Department of Health and Human Services, das feststellte, dass menschengesteuerte Ransomware-Angriffe vor allem auf den Gesundheitssektor abzielen, nachdem die Zahl der Angriffe und Lösegeldforderungen von bis zu 2 Millionen Dollar in den letzten drei Monaten gestiegen war.
Um den Computer mit Ransomware zu infizieren, versenden die Angreifer Spear-Phishing-E-Mails oder nutzen Schwachstellen im System des Opfers aus. Nach der Infektion des Systems werden die Dateien verschlüsselt, sodass sie nicht mehr zugänglich sind.
Die Angreifer verlangen dann eine Zahlung im Austausch für einen Entschlüsselungsschlüssel, der ihnen den Zugang wieder ermöglicht. Die jüngsten Bitcoin-Forderungen bewegten sich zwischen 1 und 11 Mio. US-Dollar. Die königlichen Bedrohungsakteure geben das Lösegeld jedoch nicht in der ursprünglichen Lösegeldforderung an. Die Opfer werden stattdessen aufgefordert, mit den Akteuren über eine.onion-URL zu kommunizieren.
Royal hat Bitcoin-Lösegeldforderungen zwischen 1 und 11 Millionen Dollar gestellt. In der Warnung wird jedoch darauf hingewiesen, dass die Gruppe in ihren ersten Lösegeldschreiben keine Lösegeldbeträge und Zahlungsanweisungen angibt. Stattdessen weist die Lösegeldforderung die Opfer an, ein Royal-Mitglied direkt über eine sichere URL zu kontaktieren, die über den verschlüsselten Tor-Browser zugänglich ist.
Nach Angaben des FBI und der CISA verstärkt Royal seine Operationen und weitet seinen Aktionsradius über das Gesundheitswesen hinaus aus: Es wird vermutet, dass die Fertigungs-, Bildungs- und Kommunikationsbranche weitere Ziele sind. Seit September letzten Jahres nutzen Cyberkriminelle eine Royal-Ransomware-Variante, um Organisationen in den Vereinigten Staaten zu infiltrieren, darunter viele Gesundheitsdienstleister.
Die Taktik von Royal ähnelt der anderer Arten von Ransomware. Bevor die Ransomware eingesetzt wird, deaktivieren die Akteure die Antiviren-Software und exfiltrieren große Datenmengen aus dem Netzwerk. Die Daten werden "durch die Wiederverwendung legitimer Cyber-Pen-Testing-Tools wie Cobalt Strike sowie Malware-Tools und Derivate wie Ursnif/Gozi" gestohlen.
Royal-Mitglieder deaktivieren die Antiviren-Software, nachdem sie sich Zugang zum Netzwerk eines Unternehmens verschafft haben. Nach Angaben des FBI und der CISA "exfiltrieren" die Cyberkriminellen dann große Datenmengen, bevor sie Ransomware einsetzen und die Systeme ihrer Opfer verschlüsseln. Die meisten Angriffe nutzen Phishing-E-Mails mit bösartigen PDF-Dokumenten als primäre Zugangsmethode. Die Kompromittierung des Remote-Desktop-Protokolls (RDP) ist der zweithäufigste Angriffsvektor, gefolgt von der Ausnutzung von öffentlich zugänglichen Anwendungen und der Verwendung von Brokern, um einen ersten Zugang zu erhalten, sowie von Quellverkehr, um Anmeldeinformationen für virtuelle private Netzwerke (VPN) zu sammeln.
Sobald sie sich Zugang verschafft haben, verwenden die Royal-Mitglieder wiederverwendete, legitime Windows-Software, um ihre Netzwerkpräsenz zu verstärken. Die Forscher haben auch beobachtet, dass die Gruppe Open-Source-Projekte wie Chisel, ein Tunneling-Tool, zur Unterstützung ihrer Einbruchsaktivitäten nutzt.
Zu den Quellen für diesen Beitrag gehört ein Artikel im SCMagazine.
