O grupo de ransomware Royal fez mais de 350 vítimas globalmente desde setembro de 2022, exigindo centenas de milhões em pagamentos de resgate, de acordo com um novo relatório da Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos Estados Unidos.
O comunicado de segurança cibernética é uma atualização de um relatório lançado em março deste ano, contendo novas informações, como indicadores atualizados de comprometimento (IOCs) e táticas, técnicas e procedimentos (TTPs). Isso inclui novos IOCs gerados por investigações do FBI no início deste ano, que parecem mostrar um crossover entre Royal e o grupo de ransomware Blacksuit.
“Os operadores de ameaças Royal e Blacksuit foram observados usando software legítimo e ferramentas de código aberto durante operações de ransomware. Os hackers foram observados usando ferramentas de encapsulamento de rede de código aberto, como Chisel e Cloudflared, bem como Secure Shell (SSH) Client, OpenSSH e MobaXterm para estabelecer conexões SSH”, explicou a CISA.
“A ferramenta Mimikatz de roubo de credenciais disponível publicamente e as ferramentas de coleta de senhas da Nirsoft também foram encontradas nos sistemas das vítimas. Ferramentas legítimas de acesso remoto AnyDesk, LogMein e Atera Agent também foram observadas como vetores de acesso backdoor”, lista o relatório.
O acesso inicial é mais comumente obtido por meio de phishing — que responde por cerca de dois terços dos incidentes reais — seguido pelo comprometimento RDP – Remote Desktop Protocol (13%). Acredita-se que o grupo também tenha usado corretores de acesso inicial e aplicativos voltados para o público no passado, de acordo com a CISA.
Veja isso
Versão Linux do ransomware Royal mira servidor VMware ESXi
Descobertas conexões entre os grupos Hive, Royal e Black Basta
RDP e PsExec (SysInternals) também são frequentemente usados pelo grupo para se mover lateralmente pela rede de uma vítima, enquanto o Cobalt Strike e malwares como Ursnif/Gozi são comumente implantados para ajudar na agregação e exfiltração de dados, observou o relatório.
Entre os setores mais visados estão saúde, manufatura e educação.
“Os operadores do ransomware fizeram pedidos de resgate que variam de aproximadamente US$ 1 milhão a US$ 11 milhões em Bitcoin”, explicou a CISA. “Nos incidentes observados, os operadores reais não incluem valores de resgate e instruções de pagamento como parte da nota de resgate inicial. Em vez disso, a nota, que aparece após a criptografia, exige que as vítimas interajam diretamente com o operador da ameaça por meio de uma URL .onion (acessível por meio do navegador Tor).”