Podle zprávy FBI si ransomware Royal v uplynulém roce vyžádal více než 350 obětí po celém světě, přičemž požadavky na výkupné přesáhly 275 milionů dolarů.
Od září 2022 používají provozovatelé ransomwaru Royal vlastní malware, díky čemuž se stávají oběťmi organizace nejen v USA, ale i dalších zemích, uvádí federálové.
Za tuto dobu se útočníci úspěšně zaútočili na více než 350 různých obětí po celém světě, přičemž požadavky na výkupné se pohybovaly v rozmezí od 1 do 11 milionů USD. Celkem dosud vyděrači za odblokování systémů nebo za utajení ukradených dat požadovali 275 milionů USD.
Royal používá typickou techniku dvojího vydírání, kdy před zašifrováním exfiltruje data a poté, pokud není zaplaceno výkupné, zveřejní data oběti na webu, ze kterého unikla.
"Útočníci nejdříve deaktivují antivirový software a exfiltrují velké množství dat, než nakonec nasadí ransomware a zašifrují systémy," uvádí se ve společném oznámení FBI a CISA.
Zpráva uvádí, že nejúspěšnějším vektorem pro počáteční přístup je phishing, což platí pro většinu hackerských operací.
Ve zprávě, která byla včera aktualizována tak, aby obsahovala nejnovější taktiky, techniky, postupy (TTP) a indikátory kompromitace (IOC), se uvádí, že kyberzločinecký program Royal se od většiny podobných operací liší tím, že v úvodní zprávě o výkupném neuvádí výši výkupného ani pokyny k platbě.
"Místo toho zpráva, která se objeví po zašifrování, vyžaduje, aby oběti přímo komunikovaly s útočníkem prostřednictvím adresy URL .onion (dosažitelné prostřednictvím prohlížeče Tor)," uvádí se v doporučení.
FBI a CISA vyzývají organizace, aby si prostudovaly dokumentaci a provedly doporučení, uvedená v části o opatřeních ke snížení nebezpečí incidentů spojených s ransomwarem, a jejich dopadu na organizace.
V prosinci 2022 se Royal přihlásil k útoku na telekomunikační společnost Intrado, a vyhrožoval zveřejněním citlivých dat, pokud nebude splněn požadavek na výkupné.
Tentýž měsíc vydalo US Department of Health and Human Services (HHS) bezpečnostní doporučení, které upozorňovalo na Royal jako na novou ransomwarovou kampaň, útočící na zdravotnické organizace ve Spojených státech.
V květnu 2023 provedl Royal podobný útok na město Dallas (TX), kde ohrozil kritické systémy, včetně záchranných služeb. Útok přinutil dispečery tísňové linky 911 ručně zapisovat pokyny pro zasahující policisty, zatímco policisté reagovali prostřednictvím osobních telefonů a vysílaček.
V oznámení po incidentu představitelé města uvedli, že "zkoumají všechny možnosti nápravy tohoto incidentu", a naznačili, že v případě nutnosti se zvažuje zaplacení výkupného.
Za zmínku také stojí, že Royal nepracuje podle modelu Ransomware-as-a-Service (RaaS), ale funguje jako soukromá skupina bez partnerských subjektů.
Podle CISA existují náznaky, že se Royal možná chystá na rozdělení. Předpokládá se, že jednou z takových odnoží je ransomware Blacksuit, který s Royalem sdílí řadu identifikovaných znaků kódování.