وكالة الأمن السيبراني الأمريكية تدق ناقوس الخطر بشأن قدرات Royal Ransomware المميتة

وقالت CISA: "بعد الوصول إلى شبكات الضحايا ، قامت الجهات الفاعلة الملكية بتعطيل برامج مكافحة الفيروسات وتسلل كميات كبيرة من البيانات قبل نشر برامج الفدية في النهاية وتشفير الأنظمة" .

يُعتقد أن برنامج الفدية المخصص ، الذي استهدف المنظمات الأمريكية والدولية منذ سبتمبر 2022 ، قد تطور من التكرارات السابقة التي أطلق عليها اسم Zeon.

علاوة على ذلك ، يُقال إنه يتم تشغيله من قبل جهات تهديدات محنكة اعتادوا أن يكونوا جزءًا من Conti Team One ، شركة الأمن السيبراني Trend Micro التي تم الكشف عنها في ديسمبر 2022.

توظف مجموعة برامج الفدية التصيد الاحتيالي عبر الاتصال كوسيلة لتسليم برامج الفدية إلى الضحايا ، وهي تقنية تبنتها على نطاق واسع الجماعات الإجرامية التي انشقت عن مؤسسة Conti العام الماضي بعد إغلاقها.

تشمل الأنماط الأخرى للوصول الأولي بروتوكول سطح المكتب البعيد (RDP) ، واستغلال التطبيقات التي تواجه الجمهور ، وعبر وسطاء الوصول الأولي (IABs).

تتراوح طلبات الفدية التي قدمتها Royal من مليون دولار إلى 11 مليون دولار ، مع هجمات تستهدف مجموعة متنوعة من القطاعات الحيوية ، بما في ذلك الاتصالات والتعليم والرعاية الصحية والتصنيع.

وأشار CISA إلى أن "برامج الفدية الملكية تستخدم أسلوب تشفير جزئي فريدًا يسمح لممثل التهديد باختيار نسبة معينة من البيانات في ملف لتشفيرها". "يسمح هذا الأسلوب للممثل بتخفيض نسبة التشفير للملفات الأكبر حجمًا ، مما يساعد على تجنب الكشف."

قالت وكالة الأمن السيبراني إن العديد من خوادم القيادة والتحكم (C2) المرتبطة بـ Qakbot قد تم استخدامها في عمليات اقتحام Royal ransomware ، على الرغم من أنه غير محدد حاليًا ما إذا كانت البرامج الضارة تعتمد حصريًا على البنية التحتية Qakbot.

تتميز عمليات الاقتحام أيضًا باستخدام Cobalt Strike و PsExec للحركة الجانبية ، بالإضافة إلى الاعتماد على Windows Volume Shadow Copy Service لحذف النسخ الاحتياطية لمنع استرداد النظام. يتم إعادة توجيه Cobalt Strike أيضًا لتجميع البيانات واستخراجها.

اعتبارًا من فبراير 2023 ، أصبحت Royal ransomware قادرة على استهداف بيئات Windows و Linux. تم ربطه بـ 19 هجومًا في شهر يناير 2023 وحده ، مما يضعه خلف LockBit و ALPHV و Vice Society.