Ransomware
Conti-Akteure auch als Royal Ransomware gefährlich
In den letzten Monaten gab es Angriffe einer neuen Ransomware, deren Hintermänner jedoch ehemals zur Conti-Gang gehörten. Die Profis sind gefährlich und nutzen Callback Phishing, verschiedene Tools und intermittierende Verschlüsselung.
Royal Ransomware wurde zwar erstmals im September 2022 gesichtet, doch dahinter stecken erfahrene Cyberkriminelle, nämlich Bedrohungsakteure, die früher zum Conti Team One gehörten. Seither entdeckten wir zahlreiche Angriffe, wobei die USA und Brasilien die am meisten betroffenen Länder waren.
Infektionsroutine
Aus externen Berichten weiß man, dass die Ransomware-Gruppe Callback Phishing als Mittel für die Verteilung ihrer Malware nutzt. Die Angriffe enthalten eine Telefonnummer, die zu einem von den Bedrohungsakteuren angeheuerten Service führt. Bei Kontakt versuchen sie, mithilfe von Social-Engineering-Taktiken, die Opfer zur Installation einer Fernzugriffssoftware zu verleiten.
Wir fanden heraus, dass die Täter eine kompilierte Remote-Desktop-Malware verwendeten, mit der sie die für die Infiltration des Opfers benötigten Tools ablegten: QakBot und Cobalt Strike für die laterale Bewegung und NetScan, um nach mit dem Netzwerk verbundenen Remote-Systemen zu suchen. Sobald sie das System infiltriert hatten, setzten sie Tools wie PCHunter, PowerTool, GMER und Process Hacker ein, um alle sicherheitsrelevanten Services im System zu deaktivieren. Anschließend exfiltrieren sie die Daten des Opfers über RClone.
Danach verwenden sie PsEXEC, um die Malware auszuführen. Die PsEXEC-Befehle enthalten die ID des Opfers sowie alle Argumente, die die Akteure an die Ransomware übergeben haben. Für die Verschlüsselung setzen die Erpresser auf AES und gegen den Dateien die Extension „.royal“.
Eine ausführliche technische Analyse der Ransomware Samples finden Sie im Originalbeitrag.
Sicherheitsempfehlungen
Die Erpressergruppe Royal setzt eine Mischung aus alten und neuen Techniken ein, was darauf hindeutet, dass sie keine Neulinge in der Ransomware-Szene sind. Sie nutzen Callback Phishing, um die Opfer zur Installation von Remote-Desktop-Malware zu verleiten, und können so relativ einfach in den Computer des Opfers eindringen. Ihre Taktik der intermittierenden Verschlüsselung (teilweise Verschlüsselung einer Datei) beschleunigt auch die Verschlüsselung der Dateien eines Opfers, mit dem zusätzlichen Vorteil, dass sie Erkennungsmechanismen entgehen, die sich auf die Suche nach intensiven Datei-IO-Operationen konzentrieren. Trotz ihres „späten“ Auftauchens in der Szene im September hat die Gruppe bereits mehrere Unternehmen erpresst, und wir erwarten, dass sie in den kommenden Monaten noch aktiver sein wird. Weitere Einzelheiten zu den anderen Fähigkeiten von Royal Ransomware finden Sie in der Trend Micro Bedrohungsenzyklopädie.
Wir raten Anwendern und Unternehmen dringend, ihre Systeme mit den neuesten Patches zu aktualisieren und mehrschichtige Abwehrmechanismen anzuwenden. Der Erfolg der Royal-Bande zeigt, dass Ransomware-Akteure immer innovativere Wege finden, um bestehende Tools und Taktiken als Mittel zur Verstärkung ihrer Angriffe zu nutzen. Sowohl Endbenutzer als auch Unternehmen können das Risiko einer Infektion durch neue Bedrohungen wie Royal Ransomware mindern, indem sie die folgenden Best Practices befolgen:
- Setzen Sie Mehrfaktorauthentifizierung (MFA) ein, um Angreifer an lateralen Bewegungen innerhalb eines Netzwerks zu hindern.
- Halten Sie sich beim Backup wichtiger Dateien an die 3-2-1-Regel mit den drei Kopien in zwei unterschiedlichen Dateiformaten und einer Kopie an einem separaten Ort.
- Patchen und Updaten Sie Ihre Systeme regelmäßig.
Unternehmen können auch die Vorteile mehrschichtiger Detection-and-Response-Lösungen nutzen, so etwa von Trend Micro Vision One™. Diese bietet mächtige XDR-Fähigkeiten für das Sammeln und die automatische Korrelierung von Daten über mehrere Sicherheitsebenen hinweg - Mail, Endpoints, Servers, Cloud Workloads und Netzwerke. Damit können Angriffe verhindert werden, und kein wichtiger Vorfall geht unbemerkt durch. Trend Micro Apex One™ hat auch automatisierte Fähigkeiten zur Bedrohungserkennung und –Reaktion, um Endpunkte besser zu schützen.