Royal Ransomware

O Royal Ransomware é uma cepa de malware altamente sofisticada e de rápida evolução, observada pela primeira vez no início de 2022. Uma lucrativa onda de violações em 2022 rendeu ao Royal uma classificação entre as campanhas de ransomware mais prolíficas e ameaçadoras do ano. Somente em novembro de 2022, o Dev-0569, a gangue de ransomware que opera o Royal, adicionou 43 novas vítimas, exigindo entre US$ 250.000 e US$ 2 milhões por comprometimento. As vítimas corporativas do Dev-0569 incluíram o Silverstone Circuit, o circuito de corrida mais popular do Reino Unido; o Travis Central Appraisal District, uma entidade governamental do estado do Texas; e uma grande empresa de telecomunicações dos EUA, sem nome, que foi atingida por um pedido de resgate de US$ 60 milhões. 

O Dev-0569 é um grupo privado de agentes de ameaças de elite que busca principalmente ganhos financeiros extorquindo vítimas de grandes empresas. A análise dos padrões de ataque do Royal estabeleceu comparações com outras gangues de ransomware de ponta, Conti e Ryuk, indicando que os operadores do Royal se separaram de outras operações de crimes cibernéticos. Em vez de vender o Royal como um ransomware como serviço (RaaS), o Dev-0569 adquire acesso direto a redes corporativas de IABs (Initial Access Brokers) clandestinos e gerencia as campanhas de ataque internamente. O Dev-0569 também emprega frequentemente táticas de extorsão dupla - extorquir as vítimas para que excluam os dados roubados após ameaçar torná-los públicos - além de pedidos de resgate para a descriptografia de arquivos infectados. 

Os operadores de ransomware da Royal fazem conluio com os IABs para obter acesso inicial, o que significa que os ataques da Royal podem começar com uma ampla variedade de táticas e cargas úteis de primeiro estágio bem conhecidas. Os ataques da Royal incluíram o uso abusivo de formulários de contato de sites comerciais para espalhar links mal-intencionados, atraindo as vítimas com arquivos de malware trojanizados hospedados em sites de download com aparência autêntica e malvertising usando o Google Ads. 

Outra técnica de assinatura usada nos ataques da Royal é o uso de alertas falsos de expiração de teste de software para assustar as vítimas e fazê-las ligar para um número de telefone de atendimento ao cliente operado por agentes de ameaças que enganam as vítimas para que instalem o malware diretamente. O uso do formulário de contato de uma empresa contra ela mesma permite que os atacantes contornem os filtros básicos de spam, uma vez que as mensagens do formulário de contato do site geralmente são enviadas por meio do endereço de e-mail da empresa, parecendo, assim, confiáveis para os filtros de spam. 

Quando os operadores do Royal ransomware conseguem se estabelecer em uma rede-alvo, eles empregam uma ampla gama de táticas e técnicas avançadas de exploração, incluindo:

• Instalação do kit de ferramentas de pen-testing Cobalt Strike para comando e controle (C2) no sistema de uma vítima
• Implantação da ferramenta de código aberto Nsudo, scripts do PowerShell (.ps1) e scripts em lote (.bat) para desativar produtos antivírus de ponto de extremidade
• Coleta de credenciais de hosts infectados para uso em movimento lateral em uma rede e comprometimento de contas de serviços em nuvem
• Importação de binários assinados e cargas de malware criptografadas de domínios com certificados TLS legítimos para evitar o acionamento de alertas de filtros de conteúdo
• Instalação de outras linhagens de malware conhecidas, como QakBot, Gozi e Vidar, nos sistemas da vítima
• Semelhante a outros ransomwares sofisticados, o Royal exclui "cópias de sombra" que fornecem backups pontuais de arquivos
• Uso de arquivos MSI ou VHD assinados para fazer download de cargas adicionais de segundo estágio, como o malware "BATLOADER".

O módulo de criptografia de estágio final do Royal é um executável de 64 bits escrito em C++ projetado para execução em sistemas Windows. Inicialmente, o módulo de criptografia do Royal pegou emprestado o módulo de criptografia do ransomware BlackCat, mas em setembro de 2022, o Royal começou a usar um novo módulo de criptografia conhecido como "Zeon". O Zeon é um processo altamente multithread que consulta a contagem de núcleos da CPU do alvo e gera o dobro do número de threads para criptografar os arquivos das vítimas o mais rápido possível

As táticas defensivas que impedem efetivamente um ataque bem-sucedido do Royal ransomware são semelhantes às táticas usadas para impedir outros malwares, como o Royal ransomware:

• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
• Obtenha seu software somente de fontes legítimas, como a loja de aplicativos integrada de um dispositivo móvel ou o site do fornecedor do software
• Implemente uma estratégia de backup confiável com backups off-line bem protegidos e pratique procedimentos de recuperação de desastres para garantir que as metas de tempo médio de recuperação (MTTR) possam ser atingidas
• Realizar varreduras regulares de vulnerabilidades e testes de penetração em toda a infraestrutura de rede e corrigir as vulnerabilidades descobertas o mais rápido possível
• Verifique se os aplicativos do Office estão configurados com Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente 
• Exigir senhas fortes e autenticação multifatorial (MFA) para todos os serviços de acesso remoto e garantir que todas as senhas padrão sejam alteradas 
• Segmentar redes críticas e adicionar sistemas de detecção e prevenção de intrusões (IDPS) para monitorar a atividade da rede em busca de comportamentos anômalos 
• Instalar e configurar produtos de segurança de endpoint que farão a varredura de documentos criptografados imediatamente após serem descriptografados 
• Implementar soluções Zero Trust sempre que possível, dando prioridade aos sistemas críticos