O governo dos EUA está soando o alarme sobre a operação de ransomware Royal, que diz ter como alvo vários setores críticos de infraestrutura nos Estados Unidos.
Em um comunicado conjunto divulgado na quinta-feira, o FBI e a agência de segurança cibernética dos EUA CISA disseram que o ransomware Royal fez várias vítimas nos EUA e internacionalmente, incluindo organizações de manufatura, comunicações, educação e saúde.
O aviso ocorre depois que o Departamento de Saúde e Serviços Humanos dos EUA alertou em dezembro que o ransomware Royal estava “agressivamente” visando o setor de saúde dos EUA . O site de vazamento da dark web de Royal atualmente lista os Serviços de Saúde do Noroeste de Michigan e os Consultores Ortopédicos do Meio-Oeste entre suas vítimas.
A gangue Royal ransomware foi observada pela primeira vez no início de 2022. Na época, a operação dependia de ransomware de terceiros, como Zeon, mas desde então implantou seu próprio ransomware personalizado em ataques desde setembro.
O governo dos EUA adverte que, depois de obter acesso às redes das vítimas – normalmente por meio de links de phishing contendo um downloader de malware – os atores reais “desativam o software antivírus e exfiltram grandes quantidades de dados” antes de implantar o ransomware e os sistemas de criptografia.
Especialistas em segurança acreditam que Royal inclui agentes de ransomware experientes de operações anteriores, observando semelhanças entre Royal e Conti, um prolífico grupo de hackers vinculado à Rússia que se desfez em junho de 2022 .
Em novembro de 2022, o Royal ransomware foi considerado a operação de ransomware mais prolífica, ultrapassando o Lockbit. Dados recentes mostram que Royal foi responsável por pelo menos 19 ataques de ransomware em fevereiro, atrás de 51 ataques atribuídos ao LockBit e 22 ataques vinculados à Vice Society .
Embora a maioria das vítimas de Royal esteja baseada nos Estados Unidos, uma de suas vítimas de maior destaque foi o Circuito de Silverstone, um dos maiores circuitos de automobilismo do Reino Unido. Outras vítimas reivindicadas pela gangue incluem a ICS, uma organização que fornece serviços de segurança cibernética para o Departamento de Defesa dos EUA, o Distrito Escolar de Dallas e outros.
Segundo a assessoria do governo americano, os pedidos de resgate feitos pela Royal variam de US$ 1 milhão a US$ 11 milhões, mas ainda não está claro quanto a operação arrecadou de suas vítimas. O comunicado observa que os atores reais também se envolvem em táticas de dupla extorsão, por meio das quais ameaçam liberar publicamente os dados criptografados se a vítima não pagar o resgate.
“Em incidentes observados, os atores reais não incluem valores de resgate e instruções de pagamento como parte da nota de resgate inicial”, alertaram a CISA e o FBI. “Em vez disso, a nota, que aparece após a criptografia, exige que as vítimas interajam diretamente com o agente da ameaça por meio de um URL .onion”, referindo-se aos sites da Royal na dark web.
A CISA e o FBI divulgaram indicadores conhecidos de comprometimento do ransomware Royal e táticas, técnicas e procedimentos das operações, que, segundo eles, foram identificados por meio das atividades de resposta a ameaças do FBI em janeiro de 2023. As agências aconselharam as organizações dos EUA a aplicar mitigações e relatar quaisquer incidentes de ransomware. O comunicado observa que a CISA e o FBI não incentivam o pagamento de pedidos de resgate.
Fonte leia mais: https://techcrunch.com/2023/03/03/us-government-royal-ransomware-advisory/
