Royal-Ransomware
Unit 42 Bedrohungsanalyse zur Royal-Ransomware
Die Royal-Ransomware war seit ihrer ersten Entdeckung im September 2022 an viel beachteten Angriffen auf kritische Infrastrukturen, insbesondere im Gesundheitswesen, beteiligt. Entgegen dem weit verbreiteten Trend, Partner anzuheuern, um ihre Bedrohung als Dienstleistung anzubieten, operiert Royal als private Gruppe, die sich aus ehemaligen Conti-Mitgliedern zusammensetzt.
Das Team von Unit 42 hat beobachtet , dass diese Gruppe ihre Opfer durch eine BATLOADER-Infektion kompromittiert, die Angreifer normalerweise durch Suchmaschinenoptimierung (SEO) verbreiten. Bei dieser Infektion wird ein Cobalt Strike Beacon als Vorstufe zur Ausführung der Ransomware abgesetzt. Die Mitarbeiter von Unit 42 waren in den letzten neun Monaten an 15 Fällen von Royal-Ransomware beteiligt.
Royal hat auch sein Arsenal erweitert und eine ELF-Variante entwickelt, die Linux- und ESXi-Umgebungen angreift. Die ELF-Variante ist der Windows-Variante sehr ähnlich, und das untersuchte Sample enthält keine Verschleierung. Alle Zeichenfolgen, einschließlich des öffentlichen RSA-Schlüssels und der Lösegeldforderung, werden als Klartext gespeichert.
Überblick
Die Ransomware-Gruppe Royal wurde zum ersten Mal im September 2022 beobachtet, als sie Opfer kompromittierte und mittels Mehrfacherpressung zur Zahlung des Lösegelds zwang. Vor ihrem ersten Auftreten war diese Gruppe mit einer früheren Ransomware-Familie namens Zeon in Verbindung gebracht worden, die im Januar desselben Jahres auftrat.
Im Gegensatz zu großen Ransomware-Gruppen wie LockBit 3.0, die in der Regel als Ransomware-as-a-Service (RaaS) operieren, indem sie Partner anheuern und für ihr RaaS-Modell werben, haben die Forscher nicht beobachtet, dass diese spezielle Gruppe einen ähnlichen Ansatz verfolgt. Es hat den Anschein, dass sich diese Gruppe hauptsächlich aus ehemaligen Mitgliedern der Ransomware-Gruppe Conti zusammensetzt, die verdeckt und hinter verschlossenen Türen operieren. Die Ex-Mitglieder, die diese Gruppe gebildet haben, sind als Team One bekannt.
Da einige der Drahtzieher, die hinter dieser Bedrohung stehen, an der Entwicklung von Ryuk, dem Vorgänger von Conti, beteiligt waren, verfügen sie über langjährige Erfahrung. Das bedeutet, dass sie eine solide Grundlage für die Durchführung von Angriffen haben und wissen, wie sie ihre Opfer erpressen können. Möglicherweise aufgrund dieser Erfahrung hat die Gruppe bereits zahlreiche Unternehmen und Institutionen auf der ganzen Welt in Mitleidenschaft gezogen. Die Forscher von Unit 42 haben zudem beobachtet, dass die Gruppe Forderungen in Höhe von bis zu 25 Millionen Dollar in BTC gestellt hat.
Royal hat auch häufig bestimmte kritische Infrastrukturbereiche wie die Fertigungsindustrie und das Gesundheitswesen bedroht. Innerhalb weniger Monate im Jahr 2022 hat die Gruppe laut ihrer Leak-Site 14 Unternehmen des verarbeitenden Gewerbes angegriffen und anschließend behauptet, dass sie im Jahr 2023 26 weitere Unternehmen des verarbeitenden Gewerbes angreifen wird. Seit ihrer Gründung hat die Gruppe auch acht Organisationen im Gesundheitswesen angegriffen. Das U.S. Department of Health and Human Services hat im Januar 2023 eine Warnung vor der Bedrohung des Gesundheitswesens durch Royal-Ransomware herausgegeben.
Royal ist auch eine der Ransomware-Gruppen, die den Bildungssektor stören. Die Forscher haben festgestellt, dass bislang 14 Organisationen im Bildungssektor betroffen sind, darunter Schulbezirke und Universitäten. Allein in den ersten Tagen des Monats Mai 2023 hatte die Gruppe bereits vier Bildungseinrichtungen angegriffen.
Die Gruppe nutzt ihre Leak-Site, um die Opfer öffentlich zur Zahlung des Lösegelds zu erpressen. Die Royal-Gruppe belästigt die Opfer so lange, bis die Zahlung sichergestellt ist, und setzt dabei Techniken wie E-Mails an die Opfer und den Massenversand von Erpresserbriefen ein.
Der Strippenzieher der Royal-Ransomware hat ein aktives Twitter-Konto, das im Oktober 2022 erstellt wurde und den Namen „LockerRoyal“ trägt. Bei den meisten Inhalten des Kontos handelt es sich um Ankündigungen von Opfern, wobei das Twitter-Konto des Opfers markiert wird. Es ist nicht ungewöhnlich, dass Gruppen von Angreifern Social-Media-Konten einrichten, um ihre Marke und ihre Ankündigungen weiter zu verbreiten. Es ist klar, dass diese Gruppe mit allen Mitteln versucht, die Aufmerksamkeit mehrerer Organisationen zu gewinnen.
Diese spezielle Ransomware-Gruppe wurde dabei beobachtet, wie sie mehrere anfängliche Zugangsvektoren nutzt, z. B. Callback-Phishing, SEO Poisoning, exponierte RPD-Konten und kompromittierte Zugangsdaten, um sich Zugang zu anfälligen Systemen zu verschaffen. Sobald der Zugang gesichert ist, verwendet diese Gruppe mehrere Tools, um das Eindringen zu unterstützen, wie z. B. den TCP/UDP-Tunnel Chisel und das Active Directory-Abfragetool AdFind, um nur einige zu nennen.
Opferspektrum
Royal Ransomware hat sich auf eine Vielzahl von Branchen ausgewirkt, darunter sowohl kleine Unternehmen als auch große Konzerne. Aus den Informationen auf der Leak-Site und in öffentlichen Berichten geht hervor, dass Branchen wie das verarbeitende Gewerbe sowie der Groß- und Einzelhandel betroffen waren. Seit 2022 hat die Royal-Gruppe auf ihrer Leak-Site die Verantwortung für Angriffe auf 157 Unternehmen übernommen.
Es ist wichtig zu wissen, dass die Auswirkungen von Royal über finanzielle Verluste hinausgehen. Es gab Fälle, in denen die Gruppe kritische Infrastrukturen wie Gesundheitseinrichtungen und landwirtschaftliche Betriebe ins Visier genommen hat. Seit 2022 haben die Forscher beobachtet, dass diese Gruppe sieben lokale Regierungsbehörden in den Vereinigten Staaten und Europa angegriffen hat – wie bei dem jüngsten Angriff auf die Stadt Dallas.
Die meisten Angriffsziele, die von dieser Ransomware betroffen sind, befinden sich in den Vereinigten Staaten, wo 64 Prozent der betroffenen Unternehmen und Institutionen angesiedelt sind. Kanada ist das Land, das am zweitstärksten von dieser Ransomware-Familie betroffen ist, so dass der Gesamtanteil für Nordamerika 73,2 Prozent beträgt. Die nächsten Länder, die am stärksten betroffen sind, sind Deutschland, das Vereinigte Königreich, Brasilien und Italien.
Fazit
Royal-Ransomware ist in diesem Jahr aktiver geworden, verwendet eine Vielzahl von Tools und zielt aggressiver auf kritische Infrastrukturen ab. Unternehmen sollten bewährte Sicherheitspraktiken anwenden und sich vor der ständigen Bedrohung durch Ransomware in Acht nehmen, und zwar nicht nur vor Royal, sondern auch vor anderen opportunistischen kriminellen Gruppen.
Das Team von Unit 42 empfiehlt den Verteidigern, fortschrittliche Protokollierungsfunktionen zu implementieren und richtig zu konfigurieren. Dazu gehören Tools wie Sysmon, Windows-Befehlszeilenprotokollierung und PowerShell-Protokollierung. Idealerweise sollten sie diese Protokolle an ein SIEM-Tool (Security Information and Event Management) weiterleiten, um Abfragen und Erkennungsmöglichkeiten zu schaffen. Unternehmen sollten ihre Computersysteme nach Möglichkeit mit Patches versehen und auf dem neuesten Stand halten, um die Angriffsfläche für Ausnutzungstechniken zu verringern. Ebenfalls ratsam ist der Einsatz einer XDR/EDR-Lösung zur Durchführung von In-Memory-Inspektionen und zur Erkennung von Process-Injection-Techniken. Im Rahmen einer Bedrohungssuche gilt es nach Anzeichen für ungewöhnliches Verhalten im Zusammenhang mit der Umgehung von Sicherheitsprodukten, Dienstkonten für laterale Bewegungen und Benutzerverhalten im Zusammenhang mit Domain-Administratoren zu suchen.
