FBI: Ransomware Royal pediu a 350 vítimas para pagar $275 milhões
14 de Novembro de 2023

O FBI e a CISA revelaram em um comunicado conjunto que a gangue de ransomware Royal violou as redes de pelo menos 350 organizações em todo o mundo desde setembro de 2022.

Em uma atualização do comunicado original publicada em março com informações adicionais descobertas durante investigações do FBI, as duas agências também observaram que a operação de ransomware está ligada a mais de 275 milhões de dólares em demandas de resgate.

"Desde setembro de 2022, o Royal tem como alvo mais de 350 vítimas conhecidas em todo o mundo e as demandas de ransomware ultrapassaram 275 milhões de dólares", diz o comunicado.

"O Royal realiza exfiltração de dados e extorsão antes da criptografia e depois publica os dados da vítima em um site de vazamento se o resgate não for pago.

Os emails de phishing estão entre os vetores mais bem-sucedidos para o acesso inicial pelos atores de ameaça do Royal."

Em março, o FBI e a CISA compartilharam pela primeira vez indicadores de comprometimento e uma lista de táticas, técnicas e procedimentos (TTPs) para ajudar os defensores a detectar e bloquear tentativas de implantar cargas úteis de ransomware do Royal em suas redes.

O comunicado conjunto foi emitido após a equipe de segurança do Departamento de Saúde e Serviços Humanos (HHS) revelar em dezembro de 2022 que a operação de ransomware estava por trás de vários ataques contra organizações de saúde dos EUA.

A atualização do comunicado também observa que o Royal poderia planejar uma iniciativa de mudança de marca e/ou uma variante derivada, com o ransomware BlackSuit exibindo várias características de codificação compartilhadas com o Royal.

O BleepingComputer noticiou em junho que a gangue de ransomware da Royal estava testando um novo criptógrafo BlackSuit, que compartilha muitas semelhanças com o criptógrafo usual da operação.

Embora se acreditasse que a operação de ransomware da Royal mudaria de marca desde maio, quando a operação de ransomware do BlackSuit surgiu, isso nunca aconteceu.

O Royal ainda está ativamente visando organizações empresariais usando o BlackSuit em ataques limitados.

Como o BlackSuit é uma operação autônoma, o Royal pode estar planejando lançar um subgrupo focado em certos tipos de vítimas, uma vez que uma rebranding não faz mais sentido uma vez que as semelhanças foram descobertas entre os dois criptógrafos.

"Eu acredito que possamos ver mais coisas como o BlackSuit em breve.

Mas até agora, parece que tanto o novo carregador quanto o novo BlackSuit foram um experimento fracassado", disse Yelisey Bohuslavskiy, parceiro e chefe de P&D na RedSense, ao BleepingComputer.

O Ransomware Royal é uma operação privada de atores de ameaça altamente qualificados, conhecidos por terem trabalhado anteriormente com a famosa gangue de cibercrime Conti.

Apesar de terem sido detectados pela primeira vez em janeiro de 2022, suas atividades maliciosas só aumentaram em intensidade desde setembro do mesmo ano.

Embora inicialmente usassem criptógrafos de ransomware de outras operações como ALPHV/BlackCat, provavelmente para evitar chamar a atenção, a gangue desde então passou a implantar suas próprias ferramentas.

Enquanto seu primeiro criptógrafo, Zeon, trazia notas de resgate que lembravam as geradas pelo Conti, eles mudaram para o criptógrafo Royal após passar por uma mudança de marca em meados de setembro de 2022.

Recentemente, o malware foi atualizado para criptografar dispositivos Linux em ataques direcionados a máquinas virtuais VMware ESXi.

Apesar de normalmente se infiltrarem nas redes das vítimas explorando vulnerabilidades de segurança em dispositivos de acesso público, os operadores do Royal também são conhecidos por ataques de phishing de chamada de retorno.

Durante esses ataques, quando as vítimas disca os números de telefone contidos em emails inteligentemente disfarçados como renovações de assinatura, os invasores utilizam táticas de engenharia social para enganar as vítimas a instalar software de acesso remoto, concedendo-lhes acesso à rede visada.

O modus operandi dos operadores do Royal envolve criptografar os sistemas empresariais de suas vítimas e exigir resgates substanciais que variam de $250.000 a dezenas de milhões por ataque.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...