Royal Ransomware rozpoczyna ataki na amerykańskie organizacje opieki zdrowotnej, ostrzega rząd

Damian S

12 grudnia 2022

Nowa kampania oprogramowania ransomware atakuje organizacje opieki zdrowotnej w Stanach Zjednoczonych w złośliwej operacji nazwanej Royal, powiedział Departament Zdrowia i Opieki Społecznej USA (HHS) w poradniku bezpieczeństwa.

Royal Ransomware rozpoczyna ataki

Royal, po raz pierwszy zauważony we wrześniu, nie działa w modelu Ransomware-as-a-Service (RaaS), tak jak inne operacje. Zamiast tego wydaje się działać jako prywatna grupa bez podmiotów stowarzyszonych.

Jednak badacze zidentyfikowali wspólne „elementy z poprzednich operacji ransomware”, co doprowadziło ich do przekonania, że częścią operacji mogą być doświadczeni cyberprzestępcy z innych grup cyberprzestępczych.

Motywowana finansowo grupa cyberprzestępców zajmuje się atakami z podwójnym wymuszeniem, żądając ogromnych okupów za przywrócenie skradzionych danych i nieujawnianie poufnych dokumentów opinii publicznej. Żądania okupu wahają się od 250 000 do ponad 2 milionów dolarów.

Ogłoszenie HHS

„Gdy sieć zostanie naruszona, będą wykonywać czynności powszechnie spotykane w innych operacjach, w tym wdrażać Cobalt Strike w celu zachowania trwałości, zbierać dane uwierzytelniające i przechodzić poprzecznie przez system, aż ostatecznie zaszyfrują pliki” – powiedział HHS w ogłoszeniu. „Pierwotnie operacja ransomware wykorzystywała narzędzie szyfrujące BlackCat, ale ostatecznie zaczęła używać Zeon, który wygenerował notatkę dotyczącą oprogramowania ransomware, która została zidentyfikowana jako podobna do notatki Conti”.

64-bitowy plik wykonywalny napisany w języku C++ rozprzestrzeniany przez operatorów Royal ransomware usuwa wszystkie kopie woluminów w tle, uniemożliwiając ofierze odzyskanie zainfekowanych plików przy użyciu kopii z określonego momentu. Szyfruje sieć lokalną i udziały dysków lokalnych za pomocą algorytmu AES, szyfruje wektor początkowy (IV) i klucz w kluczu publicznym RSA, a następnie umieszcza je na stałe w pliku wykonywalnym. Po zaszyfrowaniu plików szkodliwy plik wykonywalny dodaje do nich rozszerzenie „.royal”.

Podobne artykuły:

Jak działają sandboxy antywirusowe i dlaczego są kluczowe przy nowoczesnych atakach?

Niebezpieczne sieci VPN

Czym jest reputacja IP i jak może wpłynąć na bezpieczeństwo Twojej sieci?

Przedstawiamy GravityZone Compliance Manager

Autor

Damian S

Należę do działu Webmasterów. Do moich zadań należy tworzenie, poprawianie i pozycjonowanie nowych stron i wpisów na blogu. Aktualnie dalej jestem na etapie kształcenia się jako informatyk. W wolnym czasie dokształcam się w zakresie kolejnych języków programowania i uczę się tworzenia aplikacji mobilnych. W weekendy lubię zrelaksować się wędkując.

Zobacz posty autora