Die US-Regierung Laut Royal bereitet sich eine der aktivsten Ransomware-Banden der letzten Jahre auf ein Rebranding oder eine Abspaltung unter dem neuen Namen Blacksuit vor.
In ein Update diese Woche Zu einem zuvor veröffentlichten gemeinsamen Hinweis zur Royal-Ransomware-Bande sagten das FBI und die US-amerikanische Cybersicherheitsbehörde CISA, dass die Blacksuit-Ransomware-Variante „eine Reihe identifizierter Codierungsmerkmale aufweist, die denen von Royal ähneln“, und bestätigte damit frühere Erkenntnisse von Sicherheitsforschern Verknüpfung der beiden Ransomware-Operationen.
„Es gibt Hinweise darauf, dass Royal sich möglicherweise auf ein Rebranding und/oder eine Spin-off-Variante vorbereitet“, heißt es in der aktualisierten Empfehlung der Regierung.
CISA gab nicht an, warum es die neuen Leitlinien veröffentlicht hat, die die beiden Ransomware-Operationen miteinander verbinden, und ein Sprecher äußerte sich nicht sofort, als er von Tech erreicht wurde.
Royal ist eine produktive Ransomware-Bande, die beschuldigt wird, mehr als 350 bekannte Opfer weltweit gehackt zu haben und Lösegeldforderungen in Höhe von über 275 Millionen US-Dollar zu stellen. CISA und das FBI hatten zuvor gewarnt, dass Royal kritische Infrastruktursektoren in den gesamten Vereinigten Staaten ins Visier nimmt, darunter Produktions-, Kommunikations- und Gesundheitsorganisationen. Die Stadt Dallas in Texas erholte sich kürzlich von einem Ransomware-Angriff, den sie später Royal zuschrieb.
Es ist nicht ungewöhnlich, dass Ransomware-Banden unterschiedliche Ransomware-Varianten entwickeln, lange Zeit schweigen oder sich abspalten und in völlig neue Gruppen aufspalten, oft in dem Bemühen, einer Entdeckung oder Festnahme durch die Strafverfolgungsbehörden zu entgehen. Doch die kürzlich von den Regierungen der USA und Großbritanniens verhängten Sanktionen behindern wahrscheinlich die Geldbemühungen der Bande, da sich die Opfer aus Angst vor einem Verstoß gegen die strengen US-Sanktionsgesetze weigern, das Lösegeld der Hacker zu zahlen.
Die Conti-Verbindung
Sicherheitsforscher fanden zuvor heraus, dass es sich bei Royal um Ransomware-Akteure aus früheren Operationen handelt, darunter Conti, eine produktive, mit Russland verbundene Hackergruppe, die sich im Mai 2022 auflöste, kurz nachdem ein massives Leck in der internen Kommunikation der Bande ausgelöst worden war, weil sich die Bande bei ihrer unprovozierten Invasion auf die Seite Russlands gestellt hatte der Ukraine.
Nach seiner Auflösung zersplitterte Conti Berichten zufolge in verschiedene Banden, einige von ihnen gründete die Royal-Ransomware-Bande Monate später. Royal begann bald, Krankenhäuser und Gesundheitsorganisationen ins Visier zu nehmen, und entwickelte sich bis 2023 zu einer der produktivsten Ransomware-Banden.
Im September 2023, Die Regierungen der USA und Großbritanniens verhängten gemeinsame Sanktionen gegen 11 angeklagte Mitglieder der inzwischen aufgelösten Conti-Ransomware-Bande. Obwohl die Mitglieder der Conti-Bande zu neuen Ransomware-Operationen übergegangen waren, erklärte die britische National Crime Agency damals, dass die Zahlung einer Lösegeldforderung an diese Personen „im Rahmen dieser Sanktionen verboten“ sei.
Staatliche Sanktionen werden häufig gegen Personen verhängt, die sich der Festnahme durch US-Strafverfolgungsbehörden entziehen, beispielsweise Personen mit Sitz in Russland, das seine Bürger normalerweise nicht abschiebt. Sanktionen erschweren es Kriminellen, von Ransomware zu profitieren, indem sie den Opfern faktisch verbieten, Zahlungen an eine sanktionierte Einzelperson oder Organisation zu leisten. Sanktionen richten sich häufig eher gegen Einzelpersonen als gegen die Operationen selbst, was zum Teil darauf zurückzuführen ist, dass kriminelle Gruppen sich umbenennen oder umbenennen, um die Sanktionen zu umgehen.
Allan Liska, Threat-Intelligence-Analyst bei Recorded Future, sagte gegenüber Tech, dass selbst eine stillschweigende Verbindung zu einer sanktionierten Person gegen die Sanktionsgesetze verstoßen könnte.
„Mehrere Mitglieder des Teams, das hinter der Royal-Ransomware steckt, sind ehemalige Conti-Mitarbeiter. Daher ist es möglich, dass einvernehmliche Firmen nach der Verhängung der Sanktionen begonnen haben, sich zu weigern, Royal zu bezahlen“, sagte Liska. „Noch wichtiger ist, dass es ausreicht, die Ransomware-Verhandlungsführer, Incident-Response-Firmen und Versicherungsunternehmen, die die Opfer unterstützen, zu verschrecken.“
Ransomware-Banden veröffentlichen typischerweise Teile der gestohlenen Daten eines Opfers auf ihren Leak-Sites, um das Opfer zur Zahlung eines Lösegelds zu erpressen. Ransomware-Banden können die Daten eines Opfers entfernen, sobald das Opfer Verhandlungen aufnimmt oder das Lösegeld zahlt. Es ist nicht ungewöhnlich, dass sich Opferorganisationen auf Drittunternehmen wie Anwaltskanzleien und Cyber-Versicherungsunternehmen verlassen, um mit den Hackern zu verhandeln oder in ihrem Namen Lösegeldzahlungen zu leisten.
Das FBI rät Opfern seit langem davon ab, das Lösegeld eines Hackers zu zahlen, da dies weitere Cyberangriffe begünstigt.