Σύμφωνα με την Red Sense, έναν οργανισμό πληροφοριών για απειλές, η ομάδα Royal ransomware – παρακλάδι της Conti – έχει προφανώς πραγματοποιήσει μια επίθεση social engineering σε περισσότερους από 1.000 οργανισμούς σε μια προσπάθεια να κάνει τα θύματα να την εμπιστευτούν.
Τον περασμένο μήνα, η εταιρεία εντόπισε μια εκστρατεία spam που φαίνεται να προέρχεται από τη Royal. Αυτή η απάτη προσπαθεί να ξεγελάσει τα θύματα και να τα κάνει να πιστέψουν ότι έχουν δεχτεί επίθεση από ransomware, πείθοντάς τα να ανοίξουν ένα αρχείο που μπορεί να φαίνεται ότι περιέχει πληροφορίες σχετικά με κλεμμένα δεδομένα, αλλά στην πραγματικότητα είναι ένα μέσο μόλυνσης από κακόβουλο λογισμικό.
Εάν το θύμα εξαπατηθεί σε αυτή την επίθεση social engineering, μπορεί να γίνει στόχος ransomware. Σύμφωνα με τον Yelisey Bohuslavskiy, επικεφαλή έρευνας της Red Sense, το σχέδιο μπορεί να έχει δημιουργήσει ακόμη και μια παραποιημένη έκδοση του Midnight Group.
Η Arete, μια γνωστή εταιρεία αντιμετώπισης περιστατικών, αποκάλυψε πρόσφατα ότι οι ισχυρισμοί της Midnight Group ότι μόλυνε τα θύματα με ransomware ήταν ψεύτικοι. Σύμφωνα με την έκθεσή τους, όσοι επηρεάστηκαν από αυτή την υποτιθέμενη επίθεση έλαβαν μηνύματα ηλεκτρονικού ταχυδρομείου που τους προειδοποιούσαν ότι αν δεν πλήρωναν, τα δεδομένα τους θα δημοσιεύονταν στο dark web. Η διαβόητη ομάδα Midnight Group προκαλεί προβλήματα από το 2019!
Η Red Sense πιστεύει ότι οι αναφορές για τις επιθέσεις αυτές που ξεκινούν από το Midnight αποτελούν μέρος ενός κακόβουλου σχεδίου που σχεδιάστηκε από τη Royal. Το συμπέρασμα αυτό προκύπτει από την ανάλυση τόσο της τηλεμετρίας των επιθέσεων όσο και του κακόβουλου λογισμικού, καθώς και των μηνυμάτων ηλεκτρονικού ταχυδρομείου που παρέχονται στα θύματα.
Για να εξαπατήσει τα θύματα ώστε να κατεβάσουν το ransomware, η ομάδα Conti χρησιμοποίησε μια μέθοδο γνωστή ως BazarCall, η οποία είναι ένας προηγμένος τύπος “callback phishing”. Μέσω αυτής της ύπουλης τακτικής, τρόμαζαν τους ανθρώπους ώστε να πιστέψουν ότι τα συστήματά τους είχαν κλειδωθεί και στη συνέχεια τους χειραγωγούσαν ώστε να εγκαταστήσουν το πραγματικό κακόβουλο λογισμικό. Οι εγκληματίες του κυβερνοχώρου καλούν συχνά τους στόχους τους προσποιούμενοι ότι είναι προσωπικό πληροφορικής από νόμιμη επιχείρηση λογισμικού ή υπηρεσία παράδοσης φαγητού. Στόχος τους είναι να πείσουν τα θύματα να κατεβάσουν εργαλεία απομακρυσμένης πρόσβασης, με τα οποία μπορούν να εγκαταστήσουν κακόβουλο λογισμικό και να αποκτήσουν βαθύτερη πρόσβαση στο δίκτυο, προκειμένου να κλέψουν δεδομένα καθώς και να κρυπτογραφήσουν αρχεία για λύτρα.
Ομάδες μετά την Conti
Μετά την καταστροφική απόφαση της Conti να υποστηρίξει το Κρεμλίνο στην επίθεσή του κατά της Ουκρανίας, τα θύματα δεν είχαν πλέον όρεξη να πληρώνουν εκβιασμούς. Αυτό οδήγησε στη διάσπαση της Conti και τελικά γέννησε τη Royal περίπου ένα χρόνο αργότερα.
Η ομάδα Royal αποτελείται σήμερα από 50 έως 60 μέλη, αλλά τα περισσότερα εργάζονται σε ομάδες των τεσσάρων ή πέντε ατόμων για να στοχεύσουν και να εξαλείψουν νέα θύματα, σημείωσε ο Bohuslavskiy.
Όταν η ομάδα Royal πρωτοεμφανίστηκε στον κόσμο στις αρχές του 2022, υιοθέτησε διάφορα προγράμματα ransomware που δεν ήταν δικής της κατασκευής. Ωστόσο, τον Σεπτέμβριο του 2022 οι ερευνητές εντόπισαν ένα νέο εργαλείο που δημιουργήθηκε και χρησιμοποιήθηκε από αυτή την οργάνωση το οποίο προσθέτει την κατάληξη .royal στο τέλος των κρυπτογραφημένων αρχείων. Όπως είναι αναμενόμενο, στο πλαίσιο αυτών των επιθέσεων παρουσιάστηκαν υψηλά αιτήματα λύτρων που κυμαίνονταν από 250.000 εώς 2 εκατομμύρια δολάρια, δίνοντας στα θύματα λίγες ελπίδες για ανάκτηση χωρίς πληρωμή.
Αυτόν τον Δεκέμβριο, η κυβέρνηση των ΗΠΑ προειδοποίησε ότι η Royal φαίνεται να στοχεύει επιθετικά σε οργανισμούς υγειονομικής περίθαλψης. Επιπλέον, τον περασμένο μήνα σημείωσαν αύξηση του όγκου της κακόβουλης δραστηριότητάς τους.
Στόχος: Windows και Linux
Η Royal διαθέτει μια ποικιλία εργαλείων στο μανίκι της, χωρίς να βασίζεται αποκλειστικά στις στρατηγικές του BazarCall. Πρόσφατα οι ερευνητές είδαν μια πρόσθετη παραλλαγή σχεδιασμένη για να προσβάλλει συστήματα Linux- αυτό είναι επιπλέον του αρχικού ransomware που δημιουργήθηκε για συσκευές Windows.
Για να καταδείξει την επάρκεια των διαδικασιών της, η Trellix αποκάλυψε πρόσφατα λεπτομέρειες σχετικά με την αντιμετώπιση συμβάντος ενός ανώνυμου θύματος που χειρίστηκε στο τέλος του περασμένου έτους.
Η Trellix είπε ότι αυτή η επίθεση Royal ransomware ξεκίνησε με ένα ηλεκτρονικό μήνυμα phishing που έδωσε εντολή στον παραλήπτη να κατεβάσει ένα αρχείο που τελικά εκτελούσε ένα payload Qbot, το οποίο χρησιμοποιείται επίσης από ορισμένες άλλες ομάδες μετά τη Conti.
Περίπου τέσσερις ώρες μετά την επίθεση, «Το Cobalt Strike εγκαταστάθηκε ως υπηρεσία σε έναν domain controller» και οι εισβολείς άρχισαν να κινούνται πλευρικά, κλιμακώνοντας τα προνόμια και εκτελώντας ορισμένα PowerShell scripts, είπαν οι ερευνητές της Trellix. Αρκετές μέρες αργότερα, οι επιτιθέμενοι διέφυγαν πάνω από 25 gigabyte δεδομένων και λίγες μέρες μετά, εξαπέλυσαν το Royal ransomware, το οποίο χρησιμοποιούσε μερική κρυπτογράφηση για την ταχύτερη κρυπτογράφηση αρχείων.
Πηγή πληροφοριών: bankinfosecurity.com
