联邦调查局和中钢协发布网络安全顾问在皇家Ransomware组

联邦调查局和中钢协发布了联合网络安全顾问讨论皇家ransomware组。

背景

作为他们的一部分# StopRansomware运动,美国联邦调查局(Federal Bureau of Investigation)和网络安全基础设施安全机构已经发布了网络安全咨询(CSA)讨论了皇家ransomware组。咨询详情的战术、技术和程序与集团和相关指标的妥协与感染有关。

皇家ransomware操作出现在2022年1月,在那一年参与几个高调的攻击,如对银石赛道的电路和昆士兰科技大学的。到2022年底,英国皇家ransomware组飙升至每月图表的顶部LockBit超车2022年11月,可能由于急剧上升攻击组织的假期。

分析

当皇家背后的威胁的演员出现在2022年1月,这是使用ALPHV / BlackCat ransomware。然而,随着发展,它开始使用自己的Zeon加密机,与孔蒂分享相似的工具,这表明现在已经孔蒂操作的成员卷入皇家。ransomware集团2022年9月以来一直在使用Zeon的一种变体,称为皇家使用.royal文件扩展名受害者本身加密的文件而命名的“皇家”赎金笔记。

图片来源:BleepingComputer

战术、技术和程序

根据CSA,皇家的首选技术,获得初始目标网络通过使用电子邮件包含恶意pdf或钓鱼攻击正如大家所知道的那样导致受害者下载恶意软件。其他组所使用的战术包括影响远程桌面协议(RDP),利用面临的公共应用程序和使用初始访问代理。我们的报告Ransomware生态系统提供了一个更深层次的解释如何ransomware运营商获得他们的目标网络。

一旦攻击者获得,他们与他们建立指挥控制(C2)通信C2基础设施,其中可能包括C2s Qakbot联系在一起。一旦建立了通信in,皇家演员下载一些工具。这些工具包括远程监控和管理软件包括AnyDesk LogMeIn, Atera,用于横向运动和持久性。皇家已经观察到的影响域控制器,使用组策略对象来禁用防病毒解决方案。

皇家使用钴攻击和恶意软件如Ursnif / Gozi漏出数据。皇家演员加密目标文件之前,检查目标文件是否被使用或被应用程序使用Windows启动管理器和删除卷影副本,防止受害者恢复快照ransomware后执行。批处理文件执行一些操作,如创建新的管理员账户,修改注册表键,执行和监控和日志文件加密和删除原始文件。

妥协的指标

创建的文件的ransomware留在受影响的系统包括:

• 加密的文件。皇家扩展
• 自述文件。TXT留在目录有加密的文件
• 几批处理文件(。bat)

CSA,列出使用的IP地址和域名ransomware,和散列的工具,恶意软件和使用批处理文件。

确定影响系统

当我们回顾的列表应该讨论的咨询,我们的活动目录的安全解决方案可以帮助组织审查指标的接触有关:使用弱密码策略,临终的操作系统运行,硬化ransomware攻击不足和审计的特权帐户。我们强烈建议审查你的广告环境关注可能危及您的组织的配置错误。

的成立一个管理平台超出传统的脆弱性管理,专注于发现和补救的公开披露常见的漏洞和风险敞口(cf)。基本任何风险管理计划的一部分,成立一个包括数据配置问题、漏洞和攻击路径在光谱的资产和技术——包括标识解决方案(例如,Active Directory);云配置和部署;和web应用程序。

获得更多的信息

• 皇家Ransomware联合CSA

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于成立一个现代风险管理平台的攻击表面。