Royal Ransomware rozpoczyna ataki na amerykańskie organizacje opieki zdrowotnej, ostrzega rząd
Damian S
12 grudnia 2022
Nowa kampania oprogramowania ransomware atakuje organizacje opieki zdrowotnej w Stanach Zjednoczonych w złośliwej operacji nazwanej Royal, powiedział Departament Zdrowia i Opieki Społecznej USA (HHS) w poradniku bezpieczeństwa.
Royal Ransomware rozpoczyna ataki
Royal, po raz pierwszy zauważony we wrześniu, nie działa w modelu Ransomware-as-a-Service (RaaS), tak jak inne operacje. Zamiast tego wydaje się działać jako prywatna grupa bez podmiotów stowarzyszonych.
Jednak badacze zidentyfikowali wspólne „elementy z poprzednich operacji ransomware”, co doprowadziło ich do przekonania, że częścią operacji mogą być doświadczeni cyberprzestępcy z innych grup cyberprzestępczych.
Motywowana finansowo grupa cyberprzestępców zajmuje się atakami z podwójnym wymuszeniem, żądając ogromnych okupów za przywrócenie skradzionych danych i nieujawnianie poufnych dokumentów opinii publicznej. Żądania okupu wahają się od 250 000 do ponad 2 milionów dolarów.
Ogłoszenie HHS
„Gdy sieć zostanie naruszona, będą wykonywać czynności powszechnie spotykane w innych operacjach, w tym wdrażać Cobalt Strike w celu zachowania trwałości, zbierać dane uwierzytelniające i przechodzić poprzecznie przez system, aż ostatecznie zaszyfrują pliki” – powiedział HHS w ogłoszeniu. „Pierwotnie operacja ransomware wykorzystywała narzędzie szyfrujące BlackCat, ale ostatecznie zaczęła używać Zeon, który wygenerował notatkę dotyczącą oprogramowania ransomware, która została zidentyfikowana jako podobna do notatki Conti”.
64-bitowy plik wykonywalny napisany w języku C++ rozprzestrzeniany przez operatorów Royal ransomware usuwa wszystkie kopie woluminów w tle, uniemożliwiając ofierze odzyskanie zainfekowanych plików przy użyciu kopii z określonego momentu. Szyfruje sieć lokalną i udziały dysków lokalnych za pomocą algorytmu AES, szyfruje wektor początkowy (IV) i klucz w kluczu publicznym RSA, a następnie umieszcza je na stałe w pliku wykonywalnym. Po zaszyfrowaniu plików szkodliwy plik wykonywalny dodaje do nich rozszerzenie „.royal”.
Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk.
W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.