Nowa kampania oprogramowania ransomware atakuje organizacje opieki zdrowotnej w Stanach Zjednoczonych w złośliwej operacji nazwanej Royal, powiedział Departament Zdrowia i Opieki Społecznej USA (HHS) w poradniku bezpieczeństwa.

Royal Ransomware rozpoczyna ataki

Royal, po raz pierwszy zauważony we wrześniu, nie działa w modelu Ransomware-as-a-Service (RaaS), tak jak inne operacje. Zamiast tego wydaje się działać jako prywatna grupa bez podmiotów stowarzyszonych.

Jednak badacze zidentyfikowali wspólne „elementy z poprzednich operacji ransomware”, co doprowadziło ich do przekonania, że ​​częścią operacji mogą być doświadczeni cyberprzestępcy z innych grup cyberprzestępczych.

Motywowana finansowo grupa cyberprzestępców zajmuje się atakami z podwójnym wymuszeniem, żądając ogromnych okupów za przywrócenie skradzionych danych i nieujawnianie poufnych dokumentów opinii publicznej. Żądania okupu wahają się od 250 000 do ponad 2 milionów dolarów.

Ogłoszenie HHS

„Gdy sieć zostanie naruszona, będą wykonywać czynności powszechnie spotykane w innych operacjach, w tym wdrażać Cobalt Strike w celu zachowania trwałości, zbierać dane uwierzytelniające i przechodzić poprzecznie przez system, aż ostatecznie zaszyfrują pliki” – powiedział HHS w ogłoszeniu. „Pierwotnie operacja ransomware wykorzystywała narzędzie szyfrujące BlackCat, ale ostatecznie zaczęła używać Zeon, który wygenerował notatkę dotyczącą oprogramowania ransomware, która została zidentyfikowana jako podobna do notatki Conti”.

64-bitowy plik wykonywalny napisany w języku C++ rozprzestrzeniany przez operatorów Royal ransomware usuwa wszystkie kopie woluminów w tle, uniemożliwiając ofierze odzyskanie zainfekowanych plików przy użyciu kopii z określonego momentu. Szyfruje sieć lokalną i udziały dysków lokalnych za pomocą algorytmu AES, szyfruje wektor początkowy (IV) i klucz w kluczu publicznym RSA, a następnie umieszcza je na stałe w pliku wykonywalnym. Po zaszyfrowaniu plików szkodliwy plik wykonywalny dodaje do nich rozszerzenie „.royal”.