Royal Ransomware Threat zielt hinaus dasjenige US-Gesundheitswesen

12. Monat der Wintersonnenwende 2022Ravie LakshmananGesundheits-IT / Ransomware

Dasjenige US-Gesundheitsministerium (HHS) hat vor anhaltenden Royal-Ransomware-Angriffen hinaus Gesundheitseinrichtungen im Staat gewarnt.

„Während die meisten bekannten Ransomware-Betreiber Ransomware-as-a-Tafelgeschirr durchgeführt nach sich ziehen, scheint Royal eine private Menge ohne verbundene Unternehmen zu sein, die finanzielle Motivation denn ihr Ziel beibehält“, sagte dasjenige Health Sector Cybersecurity Coordination Center (HC3) welcher Vermittlung [PDF].

„Die Menge behauptet, Wissen für jedes doppelte Erpressungsangriffe zu stehlen, zwischen denen sie beiläufig sensible Wissen exfiltriert.“

Laut Fortinet FortiGuard Labs soll Royal Ransomware seitdem mindestens Zustandekommen 2022 lebendig sein. Die Schadsoftware ist eine ausführbare 64-Bit-Windows-File, die in Kohlenstoff++ geschrieben ist und hoch die Befehlszeile gestartet wird, welches darauf hinweist, dass zum Nach sich ziehen ein menschlicher Bediener erforderlich ist die Infektion nachher Erhalt des Zugangs zu einer Zielumgebung.

Neben dem Löschen von Volume-Schattenkopien hinaus dem System verwendet Royal die OpenSSL-Verschlüsselungsbibliothek, um Dateien nachher dem AES-Standard zu verschlüsseln, und fügt ihnen die Erweiterung „.royal“ hinzu.

Letzten Monat gab Microsoft traut, dass eine Menge, die es unter dem Namen DEV-0569 verfolgt, beobachtet wurde, wie sie die Ransomware-Familie mit einer Vielzahl von Methoden einsetzte.

Zusammenhängen bösartige Sinister, die Opfern hoch böswillige Signifizieren, gefälschte Forenseiten, Blogkommentare oder Phishing-E-Mails übermittelt werden, die zu betrügerischen Installationsdateien für jedes legitime Apps wie Microsoft Teams oder Zoom münden.

Die Dateien integrieren nämlich kombinieren Schadsoftware-Downloader namens BATLOADER, welcher dann verwendet wird, um eine Vielzahl von Nutzlasten wie Gozi, Vidar, BumbleBee bereitzustellen, und außerdem echte Remote-Management-Tools wie Syncro missbraucht, um Cobalt Strike für jedes die nachfolgende Ransomware-Verfügbarmachung einzusetzen.

Es wird fiktional, dass die Ransomware-Gangart, obwohl sie erst in diesem Jahr aufgetaucht ist, erfahrene Akteure aus anderen Operationen umfasst, welches hinaus die sich ständig weiterentwickelnde Natur welcher Bedrohungslandschaft hinweist.

„Ursprünglich verwendete die Ransomware-Operation den Verschlüsseler von BlackCat, begann nunmehr schließlich mit welcher Verwendung von Zeon, dasjenige eine Ransomware-Notiz generierte, die denn verwandt welcher von Conti identifiziert wurde“, sagte welcher HHS. “Sie Notiz wurde später im September 2022 in Royal geändert.”

Die Vermittlung stellte weiter steif, dass Royal Ransomware-Angriffe hinaus dasjenige Gesundheitswesen sich hauptsächlich hinaus Organisationen in den USA konzentriert nach sich ziehen, mit Zahlungsforderungen zwischen 250.000 und 2 Mio. US-Dollar.