Το Υπουργείο Υγείας και Κοινωνικών Υπηρεσιών των ΗΠΑ εξέδωσε μια νέα προειδοποίηση προς τους οργανισμούς υγειονομικής περίθαλψης της χώρας σχετικά με συνεχιζόμενες επιθέσεις από μια σχετικά νέα επιχείρηση, τη Royal ransomware.
Δείτε επίσης: CommonSpirit Health: Η ransomware επίθεση οδήγησε σε παραβίαση δεδομένων
Το Κέντρο Συντονισμού για την Κυβερνοασφάλεια του Τομέα Υγείας (HC3) αποκάλυψε μέσω analyst note, που δημοσιεύθηκε την Τετάρτη, ότι το Royal ransomware βρίσκεται πίσω από πολλαπλές επιθέσεις εναντίον οργανισμών υγειονομικής περίθαλψης των ΗΠΑ.
Απότομη αύξηση της δραστηριότητας από τον Σεπτέμβριο
Σε αντίθεση με τις περισσότερες ενεργές λειτουργίες ransomware, η Royal δεν λειτουργεί ως Ransomware-as-a-Service, αλλά είναι μια ιδιωτική ομάδα χωρίς συνεργάτες.
Από το Σεπτέμβριο του 2022, οι χειριστές του Royal ransomware έχουν εντείνει τις δραστηριότητες τους, μήνες αφότου εντοπίστηκαν για πρώτη φορά τον Ιανουάριο του 2022.
Ενώ αρχικά, χρησιμοποιούσαν decryptors από άλλες συμμορίες όπως η BlackCat, γρήγορα άλλαξαν στη χρήση των δικών τους κρυπτογραφητών. Το πρώτο ήταν το Zeon, που δημιουργούσε σημειώματα λύτρων παρόμοια με του Conti ransomware.
Ωστόσο, από τα μέσα Σεπτεμβρίου 2022, η συμμορία ransomware μετονομάστηκε ξανά σε “Royal” και χρησιμοποιεί αυτό το όνομα στα σημειώματα λύτρων που αφήνει στα θύματα. Αυτά τα ransom notes δημιουργούνται από έναν νέο encryptor.
Η δράση της επιχείρησης Royal
Η ομάδα χρησιμοποιεί την τακτική social engineering για να ξεγελάσει τα θύματα να εγκαταστήσουν λογισμικό που θα τους δώσει απομακρυσμένη πρόσβαση. Αυτό θα συμβεί μετά από επιθέσεις phishing όπου οι εισβολείς υποδύονται τους software providers και υπηρεσίες παράδοσης φαγητού.
Αφού «μολυνθεί» ο στόχος τους, η ομάδα κρυπτογραφεί τα συστήματα των θυμάτων. Στη συνέχεια έρχονται οι απαιτήσεις των λύτρων, οι οποίες κυμαίνονται από τα 250.000 έως και τα 2 εκατομμύρια δολάρια.
Μια άλλη από τις ασυνήθιστες τακτικές της Royal είναι η χρήση χακαρισμένων λογαριασμών Twitter. Μέσω αυτών, στέλνουν πληροφορίες σχετικά με τους παραβιασμένους στόχους σε δημοσιογράφους για να καλυφθεί η επίθεση από τα ειδησεογραφικά μέσα και να ασκηθεί πρόσθετη πίεση στα θύματά τους.
Αυτά τα tweets θα σταλούν σε δημοσιογράφους και ιδιοκτήτες εταιρειών, που θα περιέχουν ένα link προς τα δεδομένα που διέρρευσαν που φέρεται να έχουν κλαπεί από τα δίκτυα των θυμάτων πριν από την κρυπτογράφηση.
Δείτε επίσης: CloudSEK: Ισχυρίζεται ότι παραβιάστηκε από εταιρεία cybersecurity
Επιθέσεις στην υγειονομική περίθαλψη
Εκτός από την Royal, η ομοσπονδιακή κυβέρνηση των ΗΠΑ έχει προειδοποιήσει και για άλλες ομάδες ransomware που είναι γνωστό ότι στοχεύουν τους οργανισμούς υγειονομικής περίθαλψης.
Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των ΗΠΑ (HHS) δήλωσε ότι το Venus ransomware στοχεύει οργανισμούς υγειονομικής περίθαλψης στη χώρα.
Προηγούμενες ειδοποιήσεις που αφορούσαν τον Τομέα Υγείας και Δημόσιας Υγείας (HPH) ενημέρωναν ότι οι απειλητικοί παράγοντες χρησιμοποιούσαν ransomware payloads Maui και Zeppelin.
Τον Οκτώβριο, ένα κοινό advisory που εκδόθηκε από την CISA, το FBI και το HHS, προειδοποιούσε πως και η ομάδα Daixin έχει βάλει στο στόχαστρο της τον τομέα της Υγείας.
Τέλος, η εταιρεία Professional Finance Inc (PFC) με βάση το Κολοράντο μοιράστηκε μια ειδοποίηση παραβίασης δεδομένων τον Ιούλιο σχετικά με μια επίθεση Quantum ransomware που έγινε στα τέλη Φεβρουαρίου και οδήγησε σε παραβίαση δεδομένων επηρεάζοντας 657 υπηρεσίες υγείας.
Πηγή πληροφοριών: bleepingcomputer.com
