Podľa správy FBI si ransomware Royal v uplynulom roku vyžiadal viac ako 350 obetí po celom svete, pričom požiadavky na výkupné presiahli 275 miliónov dolárov.
Od septembra 2022 používajú prevádzkovatelia ransomwaru Royal vlastný malware, vďaka čomu sa stávajú obeťami organizácie nielen v USA, ale aj ďalších krajinách, uvádza federáli.
Za túto dobu sa útočníci úspešne zaútočili na viac ako 350 rôznych obetí po celom svete, pričom požiadavky na výkupné sa pohybovali v rozmedzí od 1 do 11 miliónov USD. Celkom doteraz vydierači za odblokovanie systémov alebo za utajenie ukradnutých dát požadovali 275 miliónov USD.
Royal používa typickú techniku dvojitého vydierania, kedy pred zašifrovaním exfiltruje dáta a potom, pokiaľ nie je zaplatené výkupné, zverejní dáta obete na webe, z ktorého unikla.
"Útočníci najskôr deaktivujú antivírusový softvér a exfiltrujú veľké množstvo dát, než nakoniec nasadia ransomware a zašifrujú systémy," uvádza sa vo spoločnom oznámení FBI a CISA< /a>.
Správa uvádza, že najúspešnejším vektorom pre počiatočný prístup je phishing, čo platí pre väčšinu hackerských operácií.
V správe, ktorá bola včera aktualizovaná tak, aby obsahovala najnovšie taktiky, techniky, postupy (TTP) a indikátory kompromitácie (IOC), sa uvádza, že kyberzločinecký program Royal sa od väčšiny podobných operácií líši tým, že v úvodnej správe o výkupnom neuvádza výšku výkupného ani pokyny na platbu.
"Namiesto toho správa, ktorá sa objaví po zašifrovaní, vyžaduje, aby obete priamo komunikovali s útočníkom prostredníctvom adresy URL .onion (dosiahnuteľné prostredníctvom prehliadača Tor)," uvádza sa v odporúčaní.
FBI a CISA vyzývajú organizácie, aby si preštudovali dokumentáciu a vykonali odporúčania, uvedené v časti o opatreniach na zníženie nebezpečenstva incidentov spojených s ransomwarom, a ich dopadu na organizácie.
V decembri 2022 sa Royal prihlásil k útoku na telekomunikačnú spoločnosť Intrado, a vyhrážal sa zverejnením citlivých dát, pokiaľ nebude splnená požiadavka na výkupné.
V ten istý mesiac vydalo US Department of Health and Human Services (HHS) bezpečnostné odporúčanie, ktoré upozorňovalo na Royal ako na novú ransomwarovú kampaň, útočiacu na zdravotnícke organizácie v Spojených štátoch.
V máji 2023 vykonal Royal podobný útok na mesto Dallas (TX), kde ohrozil kritické systémy, vrátane záchranných služieb. Útok prinútil dispečerov tiesňovej linky 911 ručne zapisovať pokyny pre zasahujúcich policajtov, zatiaľ čo policajti reagovali prostredníctvom osobných telefónov a vysielačiek.
V oznámení po incidente predstavitelia mesta uviedli, že "skúmajú všetky možnosti nápravy tohto incidentu", a naznačili, že v prípade nutnosti sa zvažuje zaplatenie výkupného.
Za zmienku tiež stojí, že Royal nepracuje podľa modelu Ransomware-as-a-Service (RaaS), ale funguje ako súkromná skupina bez partnerských subjektov.
Podľa CISA existujú náznaky, že sa Royal možno chystá na rozdelenie. Predpokladá sa, že jednou z takýchto odnoží je ransomware Blacksuit, ktorý s Royalom zdieľa rad identifikovaných znakov kódovania.