0
0
A gangue Royal ransomware subiu rapidamente para o topo da cadeia alimentar de ransomware, demonstrando táticas sofisticadas – incluindo criptografia parcial e rápida – que os pesquisadores acreditam que podem refletir os anos de experiência que seus membros aprimoraram como líderes do agora extinto Conti Group .
O Royal ransomware opera em todo o mundo e, supostamente, por conta própria; não parece que o grupo use afiliados por meio de ransomware como serviço (RaaS) ou para atingir um setor ou país específico. O grupo é conhecido por fazer pedidos de resgate de até US$ 2 milhões e afirma ter publicado 100% dos dados que extrai de suas vítimas.
Um mergulho mais profundo em como o grupo Royal ransomware funciona mostra um grupo seguro e inovador com várias maneiras de implantar ransomware e evitar a detecção para que possa causar danos significativos antes que as vítimas tenham a chance de responder, revelaram pesquisadores da Cybereason Security Research & Global SOC Team em uma postagem de blog publicada em 14 de dezembro.
Um aspecto fundamental das táticas da Royal é o conceito de criptografia parcial, em que ela bloqueia apenas uma parte predeterminada do conteúdo do arquivo, em vez de tudo. Embora a criptografia parcial não seja uma tática nova, é fundamental para a estratégia da Royal, com o grupo levando-a a um novo nível nunca antes visto na atividade de ransomware, disseram os pesquisadores.
Recentemente, por exemplo, a Royal expandiu a ideia baseando a tática na criptografia de porcentagem flexível que pode ser adaptada ao alvo, tornando a detecção mais desafiadora, disseram os pesquisadores da Cybereason.
O grupo também emprega vários encadeamentos para acelerar o processo de criptografia, dando às vítimas menos tempo para pará-lo depois de iniciado, e a criptografia também inicia e implanta inicialmente de maneiras diferentes, o que também torna a detecção desafiadora, de acordo com a Cybereason.
Tomando a coroa como uma ameaça em rápida evolução
O Departamento de Saúde e Serviços Humanos dos EUA soou um alarme na semana passada sobre o Royal ransomware visando especificamente o setor de saúde; no entanto, o grupo está ativo desde o início deste ano e parece agnóstico quando se trata de suas vítimas, observaram os pesquisadores.
“O grupo não parece se concentrar em um setor específico, e suas vítimas variam de empresas industriais a seguradoras e muito mais”, escreveram os pesquisadores da Cybereason.
Enquanto a Royal começou sua atividade implantando outros tipos de ransomware, em setembro o grupo cibercriminoso em rápida evolução desenvolveu o seu próprio. E em novembro, o ransomware Royal foi considerado o ransomware mais prolífico no cenário do crime eletrônico, destronando o dominante Lockbit pela primeira vez em mais de um ano, disseram os pesquisadores.
E embora a Royal defina seus sites em uma gama diversificada de vítimas, seu direcionamento ao setor de saúde demonstra que o grupo provavelmente é tão implacável quanto o Conti era antes dele, observou um especialista em segurança.
“Embora algumas gangues de ransomware maiores tenham demonstrado escrúpulos em evitar visar instituições de saúde ou fornecer chaves de descriptografia sem nenhum custo, está claro que esse não é o caso quando se trata de ransomware Royal”, diz Shawn Surber, diretor sênior de gerenciamento técnico de contas da Tanium , um provedor de gerenciamento de endpoint convergente.
Segmentar o setor de saúde pode literalmente significar vida ou morte para alguns dos afetados por um ataque de ransomware, uma vez que pode impedir que os médicos tenham acesso aos principais dados do paciente, diz ele. Este setor também tende a ter uma escassez de fundos de segurança cibernética para se defender contra ransomware e outras ameaças cibernéticas, tornando-o especialmente vulnerável, diz Surber.
“Isso é especialmente preocupante, considerando que praticamente qualquer interrupção ou interrupção nas operações causará um impacto financeiro – e muitas vezes físico – em um ambiente de atendimento ao paciente”, diz ele.
Uma nova reviravolta na criptografia parcial
Enquanto a maioria dos ransomware baseia a criptografia parcial apenas no tamanho do arquivo e, em seguida, criptografa uma determinada porcentagem do arquivo da mesma maneira todas as vezes, o Royal ransomware permite que o operador escolha uma porcentagem específica e reduza a quantidade de dados criptografados, mesmo que o tamanho do arquivo seja grande. disseram os pesquisadores.
Quando um arquivo de destino está sendo criptografado, o ransomware calcula a porcentagem para criptografar e divide o conteúdo do arquivo – criptografado e não criptografado – em segmentos iguais, explicaram os pesquisadores no post. A fragmentação — e, portanto, a baixa porcentagem de conteúdo de arquivo criptografado resultante — diminui a chance de ser detectado por soluções anti-ransomware.
“Essa capacidade de alterar a quantidade do arquivo a ser criptografado dá ao Royal ransomware uma vantagem quando se trata de evitar a detecção por produtos de segurança”, observaram os pesquisadores.
O tamanho do arquivo que o Royal escolhe para seu limite de criptografia parcial – 5,24 MB – também é o mesmo que o Conti Group usava no passado, criptografando 50% de um arquivo de maneira dividida se ele estivesse acima desse tamanho “, muito parecido com o ransomware Royal ”, escreveram os pesquisadores.
Embora se acredite amplamente que os ex-operadores da Conti estejam por trás da Royal, essa semelhança não é evidência forte o suficiente para confirmar essa ligação definitivamente, acrescentaram os pesquisadores.
Outra técnica exclusiva do Royal é a criptografia multithread, escolhendo o número de threads em execução usando a chamada de API GetNativeSystemInfo para coletar o número de processadores em uma máquina, divulgaram os pesquisadores. Em seguida, multiplicará o resultado por dois e criará o número apropriado de threads de acordo. Isso permite uma criptografia rápida, outra demonstração de sofisticação do grupo, disseram os pesquisadores.
Protegendo a Enterprise de uma ameaça real
Para evitar o lançamento do tapete vermelho para Royal e outros ransomwares, os pesquisadores recomendam que as empresas implementem uma abordagem multicamada para proteção contra malware que aproveite inteligência de ameaças, aprendizado de máquina, anti-ransomware, antivírus de última geração e capacidades variantes de prevenção de carga útil.
Para organizações de assistência médica com recursos limitados de segurança cibernética que podem não ter essas ferramentas em seu arsenal, um especialista em segurança aconselhou a adoção de automação de segurança de baixo código para ajudar a detectar e responder a ameaças em tempo real, permitindo visibilidade completa dos ambientes de TI.
“ Ferramentas de segurança de endpoint que integram automação de segurança de baixo código fornecem às organizações de saúde uma estratégia de proteção coesa que protege pacientes e funcionários contra roubo de dados e extorsão”, disse Daniel Selig, arquiteto de automação de segurança do provedor de automação de segurança Swimlane, à Dark Reading.
FONTE: DARK READING