Analyse des Royal-Ransomware Exploits
Januar 2023 von Logpoint
Die Royal Ransomware wurde erstmals im Januar 2022 beobachtet und wurde unter anderem von den Bedrohungsakteuren DEV-0569 eingesetzt. Die Gruppe nutzt Google-Anzeigen, um Benutzer auf Foren, Beiträge und Blog-Kommentare umzuleiten, oder versendet Phishing-E-Mails, die Links zum Herunterladen der Malware enthalten.
Bei einer anderen Kampagne wird der erste Zugang über „Callback“-Phishing-Angriffe erlangt. Bei dieser Art von Angriffen senden die Angreifer eine E-Mail mit der Aufforderung, ein Abonnement zu aktualisieren, und fordern das Opfer auf, die angegebene Nummer anzurufen. Wenn die Opfer den in der E-Mail erwähnten Anruf tätigen, werden sie durch Social Engineering dazu gebracht, ihre Malware herunterzuladen und zu installieren. Eine ähnliche Technik wurde zuvor von der Conti-Gruppe verwendet.
Um die Abwehr zu umgehen, verwendet DEV-0569 Phishing-Links und bösartige Downloader, die wie legitime Installationsprogramme oder Updates aussehen. Es wurde beobachtet, dass die Bande virtuelle Festplattendateien (VHD) einsetzt, die wie legitime Software aussehen, um die Übertragung von Nutzdaten der ersten Stufe zu beschleunigen.
Seit November 2022 sind die Daten von mehr als 60 Opfern geleakt worden. Die Ransomware wurde in C++ geschrieben und speziell für das Betriebssystem Windows entwickelt. Sie unterstützt verschiedene Optionen zur Dateiverschlüsselung und verwendet verschiedene Social-Engineering-Techniken für den Erstzugang. Darüber hinaus setzt sie einen RestartManager ein, um den Prozess, der die zu verschlüsselnden Dateien verwendet, zu beenden. Um den Verschlüsselungsprozess zu beschleunigen, werden partielle Verschlüsselung und andere Verschlüsselungsoptionen verwendet. Da Ransomware-Payloads erst in späteren Phasen eingesetzt werden, können sie noch erkannt werden, bevor sie die sensiblen Daten eines Unternehmens verschlüsseln können. Durch eine ordnungsgemäße Systemprotokollierung und die Verwendung von SIEM-Software wie der Logpoint Converged SIEM-Plattform, die SIEM, SOAR und Endpoint Response kombiniert, können Security-Analysten die Spuren der Ransomware erkennen, die Aktivitäten der Malware untersuchen und entsprechend darauf reagieren.