Die US-Regierung schlägt Alarm wegen der Royal-Ransomware-Operation, von der sie sagt, dass sie zahlreiche kritische Infrastruktursektoren in den Vereinigten Staaten ins Visier genommen hat.
In einem gemeinsame Beratung Wie das FBI und die US-Cybersicherheitsbehörde CISA am Donnerstag veröffentlichten, sagten das FBI und die US-Cybersicherheitsbehörde CISA, dass Royal Ransomware mehrere Opfer in den USA und international gefordert hat, darunter Fertigungs-, Kommunikations-, Bildungs- und Gesundheitsorganisationen.
Die Warnung kommt nach dem US-Gesundheitsministerium gewarnt im Dezember, dass Royal Ransomware „aggressiv“ auf den US-Gesundheitssektor abzielte. Die Dark-Web-Leak-Site von Royal listet derzeit Northwest Michigan Health Services und Midwest Orthopaedic Consultants unter ihren Opfern auf.
Die Royal-Ransomware-Gang wurde erstmals Anfang 2022 beobachtet. Damals stützte sich die Operation auf Ransomware von Drittanbietern wie Zeon, setzt aber seit September ihre eigene benutzerdefinierte Ransomware bei Angriffen ein.
Die US-Regierung warnt davor, dass königliche Akteure, nachdem sie sich Zugang zu den Netzwerken der Opfer verschafft haben – typischerweise über Phishing-Links, die einen Malware-Downloader enthalten – „Antivirensoftware deaktivieren und große Datenmengen exfiltrieren“, bevor sie die Ransomware und Verschlüsselungssysteme einsetzen.
Sicherheitsexperten glauben, dass Royal erfahrene Ransomware-Akteure aus früheren Operationen umfasst, und stellen Ähnlichkeiten zwischen Royal und Conti fest, einer produktiven Hackergruppe mit Verbindungen zu Russland, die sich im Juni 2022 auflöste.
Im November 2022 war Royal Ransomware gemeldet die produktivste Ransomware-Operation zu sein und Lockbit zu überholen. Jüngste Daten zeigt, dass Royal für mindestens 19 Ransomware-Angriffe im Februar verantwortlich war, hinter 51 Angriffen, die LockBit zugeschrieben werden, und 22 Angriffen, die mit Vice Society in Verbindung stehen.
Obwohl die meisten Opfer von Royal in den Vereinigten Staaten leben, war eines der bekannteren Opfer der Silverstone Circuit, eine der größten Rennstrecken im Vereinigten Königreich. Andere Opfer behauptet von der Bande sind ICS, eine Organisation, die Cybersicherheitsdienste für das US-Verteidigungsministerium erbringt, ter Dallas School District und andere.
Laut dem Gutachten der US-Regierung variieren die von Royal gestellten Lösegeldforderungen zwischen 1 und 11 Millionen US-Dollar, aber es ist noch nicht klar, wie viel die Operation von ihren Opfern eingenommen hat. Der Ratgeber stellt fest, dass königliche Akteure auch doppelte Erpressungstaktiken anwenden, bei denen sie damit drohen, die verschlüsselten Daten öffentlich freizugeben, wenn das Opfer das Lösegeld nicht zahlt.
„Bei beobachteten Vorfällen geben königliche Akteure keine Lösegeldbeträge und Zahlungsanweisungen als Teil der ursprünglichen Lösegeldforderung an“, warnten CISA und das FBI. „Stattdessen verlangt die Notiz, die nach der Verschlüsselung erscheint, dass die Opfer direkt mit dem Bedrohungsakteur über eine .onion-URL interagieren“, und bezieht sich auf die Websites von Royal im Dark Web.
CISA und das FBI haben bekannte Royal Ransomware-Indikatoren für Kompromittierung und die Operationen veröffentlicht Taktiken, Techniken und Verfahren, die sie sagen wurden erst im Januar 2023 durch FBI-Aktivitäten zur Reaktion auf Bedrohungen identifiziert. Die Behörden haben US-Organisationen geraten, Risikominderungsmaßnahmen anzuwenden und alle Ransomware-Vorfälle zu melden. Der Ratgeber stellt fest, dass CISA und das FBI do nicht zur Zahlung von Lösegeldforderungen ermutigen.