Royal Ransomware

Royal Ransomware ist ein hochentwickelter und sich schnell entwickelnder Malware-Stamm, der erstmals Anfang 2022 beobachtet wurde. Dank einer lukrativen Jagd auf zahlreiche Einbrüche im Jahr 2022 wurde Royal zu einer der produktivsten und bedrohlichsten Ransomware-Kampagnen des Jahres. Allein im November 2022 fügte Dev-0569 - die Ransomware-Bande, die Royal betreibt - 43 neue Opfer hinzu und forderte zwischen 250.000 und 2 Millionen US-Dollar pro Einbruch. Zu den Unternehmensopfern von Dev-0569 gehörten Silverstone Circuit, die beliebteste Rennstrecke Großbritanniens, Travis Central Appraisal District, eine staatliche Einrichtung in Texas, und ein ungenanntes großes US-Telekommunikationsunternehmen, das mit einer Lösegeldforderung in Höhe von 60 Millionen US-Dollar konfrontiert wurde. 

Dev-0569 ist eine private Gruppe von Elite-Bedrohungsakteuren, die in erster Linie finanziellen Gewinn durch die Erpressung von Opfern großer Unternehmen anstreben. Die Analyse der Angriffsmuster von Royal hat Vergleiche mit anderen Ransomware-Gangs wie Conti und Ryuk gezogen, was darauf hindeutet, dass sich die Betreiber von Royal von anderen Cyberkriminalitätsoperationen abgespalten haben. Anstatt Royal als Ransomware-as-a-Service (RaaS) zu verkaufen, kauft Dev-0569 direkten Zugang zu Unternehmensnetzwerken von Underground Initial Access Brokers (IABs) und verwaltet die Angriffskampagnen intern. Dev-0569 wendet außerdem häufig eine doppelte Erpressungstaktik an: Die Opfer werden erpresst, die gestohlenen Daten zu löschen, nachdem sie damit gedroht haben, sie zu veröffentlichen, und es werden Lösegeldforderungen für die Entschlüsselung der infizierten Dateien gestellt. 

Die Betreiber von Royal-Ransomware arbeiten mit IABs zusammen, um sich einen ersten Zugang zu verschaffen. Das bedeutet, dass Royal-Angriffe mit einer Vielzahl bekannter Taktiken und Nutzlasten der ersten Phase beginnen können. Royal-Angriffe haben unter anderem Kontaktformulare auf Unternehmenswebsites missbraucht, um bösartige Links zu verbreiten, Opfer mit trojanisierten Malware-Dateien zu locken, die auf authentisch aussehenden Download-Websites gehostet werden, und Malvertising mit Google Ads zu betreiben. 

Eine weitere Signaturtechnik, die bei Royal-Angriffen zum Einsatz kommt, ist die Verwendung von gefälschten Warnungen über den Ablauf von Software-Testversionen, um die Opfer dazu zu bringen, eine Telefonnummer des Kundendienstes anzurufen, die von Bedrohungsakteuren betrieben wird, die die Opfer dazu verleiten, Malware direkt zu installieren. Indem sie das Kontaktformular eines Unternehmens gegen sich selbst verwenden, können die Angreifer einfache Spam-Filter umgehen, da Nachrichten über Website-Kontaktformulare in der Regel über die E-Mail-Adresse eines Unternehmens gesendet werden und somit für Spam-Filter vertrauenswürdig erscheinen. 

Sobald die Betreiber von Royal Ransomware in einem Zielnetzwerk Fuß gefasst haben, setzen sie eine breite Palette fortschrittlicher Ausnutzungstaktiken und -techniken ein, darunter:

• Installation des Pen-Testing-Toolkits Cobalt Strike für Command and Control (C2) auf dem System eines Opfers
• Einsatz des Open-Source-Tools Nsudo, von PowerShell-Skripten (.ps1) und Batch-Skripten (.bat) zur Deaktivierung von Antivirenprodukten für Endgeräte
• Sammeln von Anmeldeinformationen von infizierten Hosts zur Verwendung bei lateralen Bewegungen durch ein Netzwerk und Kompromittierung von Cloud-Service-Konten
• Import von signierten Binärdateien und verschlüsselten Malware-Nutzdaten von Domänen mit legitimen TLS-Zertifikaten, um die Auslösung von Inhaltsfilterwarnungen zu vermeiden
• Installation anderer bekannter Malware-Stämme, wie QakBot, Gozi und Vidar, auf den Systemen der Opfer
• Ähnlich wie andere ausgeklügelte Ransomware löscht Royal "Schattenkopien", die zeitnahe Sicherungen von Dateien enthalten.
• Verwendung von signierten MSI- oder VHD-Dateien zum Herunterladen zusätzlicher Nutzlasten der zweiten Stufe, wie z. B. 'BATLOADER'-Malware

Das Royal-Verschlüsselungsmodul der letzten Stufe ist eine ausführbare 64-Bit-Datei, die in C++ geschrieben und für die Ausführung auf Windows-Systemen konzipiert wurde. Das Royal-Verschlüsselungsmodul übernahm zunächst das Verschlüsselungsmodul der BlackCat-Ransomware, aber im September 2022 begann Royal, ein neuartiges Verschlüsselungsmodul namens "Zeon" zu verwenden. Zeon ist ein Multi-Thread-Prozess, der die Anzahl der CPU-Kerne des Ziels abfragt und die doppelte Anzahl von Threads erzeugt, um die Dateien der Opfer so schnell wie möglich zu verschlüsseln.

Abwehrtaktiken, die einen erfolgreichen Royal Ransomware-Angriff wirksam verhindern, ähneln den Taktiken, die zur Abwehr anderer Malware eingesetzt werden, wie z. B.:

• Erwägen Sie Schulungen zur Sensibilisierung der Benutzer, um das Personal über Phishing-Techniken aufzuklären und Standardarbeitsanweisungen (SOP) für den Umgang mit verdächtigen E-Mails und Dokumenten zu entwickeln.
• Konfigurieren Sie E-Mail-Clients so, dass Benutzer benachrichtigt werden, wenn E-Mails von außerhalb des Unternehmens stammen
• Beziehen Sie Ihre Software nur aus seriösen Quellen, z. B. aus dem integrierten App-Store eines Mobilgeräts oder von der Website des Softwareanbieters.
• Implementieren Sie eine zuverlässige Backup-Strategie mit gut geschützten Offline-Backups und üben Sie Verfahren für die Wiederherstellung im Katastrophenfall, um sicherzustellen, dass die angestrebte mittlere Wiederherstellungszeit (MTTR) eingehalten werden kann.
• Durchführung regelmäßiger Schwachstellenscans und Penetrationstests der gesamten Netzinfrastruktur und schnellstmögliche Behebung aller entdeckten Schwachstellen
• Stellen Sie sicher, dass die Office-Anwendungen mit der Option Alle Makros ohne Benachrichtigung deaktivieren oder Alle Makros außer digital signierten deaktivieren konfiguriert sind . 
• Verlangt sichere Passwörter und eine Multi-Faktor-Authentifizierung (MFA) für alle Fernzugriffsdienste und stellt sicher, dass alle Standardpasswörter geändert werden 
• Segmentieren Sie kritische Netzwerke und fügen Sie Systeme zur Erkennung und Verhinderung von Eindringlingen (IDPS) hinzu, um Netzwerkaktivitäten auf anormales Verhalten zu überwachen. 
• Installieren und konfigurieren Sie Endpunkt-Sicherheitsprodukte, die verschlüsselte Dokumente sofort nach der Entschlüsselung scannen 
• Einführung von Zero-Trust-Lösungen, wo immer dies möglich ist, mit Vorrang für kritische Systeme