Royal Ransomware verleiht Verschlüsselungstaktiken eine neue Wendung
[ad_1]
Die Ransomware-Gangart Royal ist schnell an die Spitze dieser Ransomware-Nahrungskette aufgestiegen und hat ausgeklügelte Taktiken – einschließlich teilweiser und schneller Verschlüsselung – demonstriert, von denen Forscher Vertrauen schenken, dass sie die jahrelange Erleben widerspiegeln, die ihre Mitglieder wie Hauptmann dieser inzwischen aufgelösten Conti-Typ gesammelt nach sich ziehen.
Royal Ransomware operiert hinaus dieser ganzen Welt und Berichten zufolge hinaus eigene Faust; Es sieht so aus nicht, dass die Typ verbundene Unternehmen mehr als Ransomware-as-a-Tafelgeschirr (RaaS) oder zur Ausrichtung hinaus kombinieren bestimmten Sektor oder ein bestimmtes Staat einsetzt. Die Typ ist hierfür familiär, Lösegeldforderungen von solange bis zu 2 Mio. US-Dollar zu stellen, und behauptet, 100 % dieser Wissen, die sie von ihren Opfern extrahiert, veröffentlicht zu nach sich ziehen.
Ein tieferer Einblick in die Funktionsweise dieser Royal Ransomware-Typ zeigt eine trittsichere und innovative Typ mit verschiedenen Möglichkeiten, Ransomware einzusetzen und dieser Erkennung zu entkommen, damit sie erheblichen Schaden servieren kann, vorweg die Todesopfer eine Möglichkeit nach sich ziehen, zu reagieren, enthüllten Forscher des Cybereason Security Research & In aller Welt SOC-Teams in einem Blogbeitrag, dieser am 14. letzter Monat des Jahres veröffentlicht wurde.
Ein Schlüsselaspekt von Royals Taktik ist dies Kurs dieser teilweisen Verschlüsselung, im Kontext dieser nur ein vorbestimmter Teil des Dateiinhalts nicht zugreifbar wird und nicht dieser gesamte. Obwohl die teilweise Verschlüsselung keine neue Taktik ist, ist sie dieser Schlüssel zu Royals Strategie, da die Typ sie hinaus ein neues Niveau hebt, dies im Kontext Ransomware-Aktivitäten noch nie zuvor gesehen wurde, sagten die Forscher.
Kürzlich hat Royal etwa die Idee erweitert, während es die Taktik hinaus eine flexible prozentuale Verschlüsselung stützt, die hinaus dies Ziel zugeschnitten werden kann, wodurch die Erkennung schwieriger wird, sagten die Cybereason-Forscher.
Die Typ verwendet gleichwohl mehrere Threads, um den Verschlüsselungsprozess zu beschleunigen, sodass die Todesopfer weniger Zeit nach sich ziehen, ihn zu stoppen, sowie er gestartet ist, und die Verschlüsselung beginnt gleichwohl zunächst und wird hinaus unterschiedliche Weise eingesetzt, welches die Erkennung laut Cybereason ebenfalls schwierig macht.
Die Einnahme dieser Zahnkrone wie sich schnell entwickelnde Risiko
Dasjenige US-Gesundheitsministerium hat letzte Woche Alarmsignal geschlagen wegen Royal-Ransomware, die speziell hinaus den Gesundheitssektor abzielt; Die Typ ist jedoch seit dieser Zeit Zustandekommen dieses Jahres rege und scheint agnostisch zu sein, wenn es um ihre Todesopfer geht, stellten die Forscher straff.
„Die Typ scheint sich nicht hinaus kombinieren bestimmten Sektor zu verdichten, und ihre Todesopfer variieren von Industrieunternehmen solange bis hin zu Versicherungsunternehmen und mehr“, schrieben die Cybereason-Forscher.
Während Royal seine Aktivitäten mit dem Kapitaleinsatz anderer Arten von Ransomware begann, hatte die sich schnell entwickelnde cyberkriminelle Typ solange bis September ihre eigene entwickelt. Und im November war Royal Ransomware gemeldet die produktivste Ransomware in dieser E-Crime-Landschaft zu sein und dies dominante Lockbit zum ersten Mal seit dieser Zeit mehr wie einem Jahr zu entthronen, sagten die Forscher.
Und obwohl Royal seine Websites hinaus eine Vielzahl von Opfern richtet, zeigt seine Ausrichtung hinaus den Gesundheitssektor, dass die Typ wahrscheinlich so rücksichtslos ist wie Conti zuvor, bemerkte ein Sicherheitsexperte.
„Während manche größere Ransomware-Gangs Skrupel gezeigt nach sich ziehen, entweder Gesundheitseinrichtungen nicht anzugreifen oder kostenlose Entschlüsselungsschlüssel bereitzustellen, ist lichtvoll, dass dies im Kontext Royal Ransomware nicht dieser Sachverhalt ist“, sagt Shawn Surber, Senior Director of Technical Benutzerkonto Management im Kontext Tanium , ein konvergenter Endpunktverwaltungsanbieter.
Die Gesundheitsbranche ins Visier zu nehmen, könnte zu Gunsten von manche dieser von einem Ransomware-Übergriff Betroffenen geradezu Leben oder Tod bedeuten, da es Ärzte daran hindern kann, hinaus wichtige Patientendaten zuzugreifen, sagt er. Dieser Sektor hat gleichwohl tendenziell kombinieren Not an Mitteln zu Gunsten von Cybersicherheit, um sich gegen Ransomware und andere Cyberbedrohungen zu verteidigen, welches ihn selten schwächlich macht, sagt Surber.
„Dies ist selten ernstlich, wenn man bedenkt, dass praktisch jeder Störfall oder jede Unterbrechung des Betriebs finanzielle – und oft physische – Auswirkungen hinaus die Patientenversorgung hat“, sagt er.
Eine neue Variante dieser teilweisen Verschlüsselung
Während die meiste Ransomware die teilweise Verschlüsselung nur hinaus dieser Dateigröße basiert und dann jeweilig kombinieren bestimmten Prozentsatz dieser File hinaus die gleiche Weise verschlüsselt, lässt Royal Ransomware den Betreiber kombinieren bestimmten Prozentsatz auswählen und die Menge dieser verschlüsselten Wissen verringern, sogar wenn die Dateigröße weitläufig ist. sagten die Forscher.
Wenn eine Zieldatei verschlüsselt wird, berechnet die Ransomware den zu verschlüsselnden Prozentsatz und teilt den Dateiinhalt hinaus — verschlüsselt und unverschlüsselt — in gleiche Segmente, erklärten die Forscher in dem Gebühr. Die Fragmentierung – und damit dieser daraus resultierende geringe Prozentsatz an verschlüsselten Dateiinhalten — verringert die Wahrscheinlichkeit, von Dagegen-Ransomware-Lösungen erkannt zu werden.
„Jene Möglichkeit, die Menge dieser zu verschlüsselnden File zu ändern, verschafft Royal Ransomware kombinieren Vorteil, wenn es drum geht, dieser Erkennung durch Sicherheitsprodukte zu entkommen“, stellten die Forscher straff.
Die Dateigröße, die Royal zu Gunsten von die teilweise Verschlüsselungsschwelle wählt – 5,24 MB – ist gleichwohl die gleiche wie die, die die Conti Group in dieser Vergangenheit verwendet hat, während sie 50 % einer File hinaus geteilte Weise verschlüsselt hat, wenn sie solche Größe überschritten hat, „homolog wie Royal Ransomware “, schreiben die Forscher.
Obwohl allgemein imaginär wird, dass die ehemaligen Betreiber von Conti hinter Royal stillstehen, ist solche Ähnlichkeit kein ausreichender Demonstration, um solche Vernetzung für immer zu ratifizieren, fügten die Forscher hinzu.
Eine weitere einzigartige Technologie von Royal ist die Multithread-Verschlüsselung, womit die Reihe dieser laufenden Threads mithilfe des API-Aufrufs ausgewählt wird GetNativeSystemInfo um die Reihe dieser Prozessoren in einer Maschine zu verknüpfen, gaben die Forscher preis. Anschließend wird dies Ergebnis mit zwei multipliziert und die entsprechende Reihe von Threads zufolge erstellt. Dies ermöglicht eine schnelle Verschlüsselung, ein weiterer Demonstration zu Gunsten von die Raffinesse dieser Typ, sagten die Forscher.
Schutzmechanismus dieser Enterprise vor einer königlichen Risiko
Um zu vermeiden, dass Royal und andere Ransomware den roten Teppich auswalzen, empfehlen Forscher Unternehmen, kombinieren mehrschichtigen Arbeitsweise zum Schutzmechanismus vor Schadsoftware zu implementieren, dieser Bedrohungsinformationen, maschinelles Lernen, Dagegen-Ransomware, Antivirus dieser nächsten Generation und Funktionen zur Verhinderung von Payload-Varianten nutzt.
Gesundheitsorganisationen mit begrenzten Cybersicherheitsressourcen, die solche Tools unter Umständen nicht in ihrem Waffenarsenal nach sich ziehen, riet ein Sicherheitsexperte zur Einleitung einer Low-Quelltext-Sicherheitsautomatisierung, um Bedrohungen in Echtzeit zu wiedererkennen und darauf zu reagieren, während vollständige Transparenz in IT-Umgebungen ermöglicht wird.
“Endpoint-Sicherheitstools, die Low-Quelltext-Sicherheitsautomatisierung integrieren, spendieren Gesundheitsorganisationen eine kohärente Schutzstrategie, die Patienten und Mitwirkender vor Datendiebstahl und Erpressung schützt“, sagt Daniel Selig, Security Automatisierung Architect beim Sicherheitsautomatisierungsanbieter Swimlane, gegensätzlich Dark Reading.
[ad_2]