Barracuda full logo

Royal Ransomware: ein Bedrohungsakteur, den Sie kennen sollten

Themen:
13. Feb.. 2024
|
Christine Barry

Das Ransomware-Ökosystem ändert sich ständig. Die Branchentools werden ständig weiterentwickelt, die Ransomware-Betreiber wechseln von einer Gruppe zur anderen, und Ransomware-Gruppen tauchen unter und ändern ihren Namen als Reaktion auf Strafverfolgung, Sanktionen oder interne Politik. Heute befassen wir uns mit Royal Ransomware, die vielleicht am besten als die Gruppe bekannt ist, die im Mai 2023 die Stadt Dallas angegriffen hat.

Wer und was ist Royal Ransomware?

Royal Ransomware (Royal, Royal Hacking Group) ist eine relativ neue Bedrohungsgruppe, die auf dem Rücken von Organisationen des Gesundheitswesens, privaten Unternehmen und lokalen Regierungen das große Geld gemacht hat. Als Royal im Jahr 2022 entdeckt wurde, firmierte es zunächst unter dem Namen Zeon, wurde jedoch im September desselben Jahres in Royal umbenannt. Das Health Sector Cybersecurity Coordination Center (HC3) veröffentlichte im Dezember eine Analystennotiz, in der Royal als Bedrohung für den Sektor Gesundheitswesen und öffentliche Gesundheit (HPH) beschrieben wurde. Im März 2023 haben das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) einen umfassenden gemeinsamen Cybersecurity-Hinweis (CSA)  #StopRansomware: Royal Ransomware veröffentlicht, in dem die von dieser Gruppe ausgehenden Bedrohungen detailliert beschrieben werden. 

Es gab erste Hinweise darauf, dass es sich bei den Betreibern von Royal Ransomware um erfahrene Bedrohungsakteure handelt, die sich von Conti und anderen Ransomware-Gruppen abspalteten. Die ersten Angriffe konzentrierten sich auf Organisationen des Gesundheitswesens in den Vereinigten Staaten, weiteten sich aber bald auf andere Branchen und internationale Ziele aus. Die Lösegeldforderungen reichen von 250.000 bis über 2 Millionen USD. Von September 2022 bis November 2023 hatte Royal über 350 bekannte Opfer weltweit ins Visier genommen und die von diesen Opfern geforderten Lösegelder überstiegen 275 Millionen US-Dollar.

Bekannte Angriffe

Das bekannteste Opfer eines Angriffs von Royal dürfte die Stadt Dallas in Texas, sein, die im Mai 2023 der Gruppe zum Opfer fiel. Die Stadt veröffentlichte einen ausführlichen Abschlussbericht, der die Angreifer als Royal Hacking Group identifiziert und die Aktivitäten der Gruppe in städtischen Systemen detailliert beschreibt. Der Bericht enthält auch Einzelheiten zu den Kosten der direkten Schadensbegrenzung, die sich zum Zeitpunkt des Berichts auf 8,5 Millionen US-Dollar beliefen. Die Stunden, die der umfassenden Schadensbegrenzung gewidmet wurden, wurden zum Zeitpunkt des Berichts mit 39.590 angegeben.

Silverstone Formula One (Silverstone, Silverstone Circuit) wurde Ende 2022 erfolgreich von Royal angegriffen.  Silverstone entdeckte dies, als Royal diese Ankündigung auf ihrer Leak-Seite veröffentlichte: 

 

 

Eigenschaften und Eindringmethoden

Teilverschlüsselung: Royal Ransomware verwendet einen einzigartigen Ansatz, bei dem ein bestimmter Prozentsatz der Daten in einer Datei zum Verschlüsseln ausgewählt werden kann. Dies macht es sehr schwierig, wenn nicht sogar unmöglich, Dateien ohne den Entschlüsselungscode der Angreifer zu entschlüsseln.

Doppelte Erpressung: Vor der Verschlüsselung der Daten des Opfers führt Royal einen Datendiebstahl und Erpressung durch und droht mit der Veröffentlichung der Daten, wenn ihre Forderungen nicht erfüllt werden.

Indicators of Compromise (IOCs): Einige in Verbindung zu Royal Ransomware stehende IOCs umfassen die verschlüsselte Dateierweiterung .royal, Lösegeldforderungen mit dem Namen README.TXT und verschiedene bösartige IP-Adressen.

Die folgende Liste von Eindringmethoden ist dem CISA-Beratungsbericht zu Royal entnommen:

  • Phishing: Phishing-E-Mails sind ein Hauptvektor für den Erstzugriff von Royal, wobei 66 % der Erstzugriffe über diese Methode erfolgen. Sie nutzen sowohl Standard- als auch Callback-Phishing, um Opfer anzulocken.
  • Remote Desktop Protocol (RDP): Die RDP-Kompromittierung war bei etwa 13,3 % der Vorfälle der erste Zugangspunkt.  Dies ist der zweiteffektivste Angriffstyp für Royal.
  • Öffentlich zugängliche Anwendungen: Das FBI hat auch beobachtet, dass Royal-Bedrohungsakteure einen ersten Zugang erhalten, indem sie öffentlich zugängliche Anwendungen ausnutzen.
  • Broker: Berichte aus vertrauenswürdigen Drittquellen deuten darauf hin, dass Bedrohungsakteure von Royal Broker nutzen können, um sich einen ersten Zugang zu verschaffen und den Datenverkehr durch das Sammeln von Zugangsdaten für virtuelle private Netzwerke (VPN) aus Diebstahlprotokollen zu erhalten. 

Beziehung zu anderen Bedrohungen

Conti: Die Betreiber von Royal scheinen ehemalige Mitglieder von Conti Ransomware zu sein, die sich vermutlich im Mai 2022 aufgelöst haben.

BlackSuit: BlackSuit Ransomware soll „ein direkter Nachfolger der berüchtigten mit Russland verbundenen Conti-Operation“ sein. Forscher haben beobachtet, dass Royal den BlackSuit-Verschlüsseler verwendet, und es besteht der Verdacht, dass Royal sich in BlackSuit oder eine andere Gruppe umbenennen wird. Einige Forscher glauben, dass BlackSuit ein Experiment von Royal ist und letztendlich von Royal über eine Untergruppe mit bestimmten Zielen eingesetzt werden könnte. Zum jetzigen Zeitpunkt handelt es sich bei Royal und BlackSuit um aktive Bedrohungen.

Storm-0569 (ehemals Dev-0569): Diese Bedrohungsgruppe ist sowohl als Entwickler als auch als Vertreiber von Royal Ransomware ein wichtiger Akteur. Sie sind für innovative Bereitstellungstechniken bekannt, beispielsweise für eine Google Ads-Malvertising-Kampagne.

Fazit

Royal ist ein Produkt einer reifenden Ransomware-Branche. Je mehr Erfahrung die Ransomware-Akteure sammeln, desto mehr erschließen sie sich neue Möglichkeiten und nehmen ihr Wissen mit. Gruppen können sich auflösen oder zersplittern, aber die Bedrohung verschwindet nicht. Einige einzelne Betreiber werden verhaftet, aber die verbleibenden bilden neue Gruppen und sind vom ersten Tag an wirksame Bedrohungsakteure.

Es gibt so viele Möglichkeiten für Ransomware, in Ihre Systeme einzudringen. Der beste Weg, sich Ransomware-Abwehr vorzustellen, besteht darin, in Bedrohungsvektoren zu denken. Sie werden nie völlig sicher sein, wenn Sie sich nur auf bestimmte Einstiegspunkte wie die oben aufgeführten konzentrieren. Nutzen Sie fortschrittliche Bedrohungsinformationen mit Funktionen zur Reaktion auf Vorfälle, um alle Ihre Angriffsoberflächen zu schützen. Barracuda bietet eine Cybersicherheitsplattform mit erweiterten Fähigkeiten, um Ihre E-Mails, Netzwerke, Anwendungen und Daten zu schützen. Besuchen Sie unsere Website, um unsere komplette Cybersicherheitsplattform zu sehen und Ihren eigenen Ransomware-Schutzplan zu entwerfen.

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
 Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
Malware-Info: Raffiniertes Phishing, BYOVD und Android-RATs
 Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
Umfrage zeigt weltweiten Rückgang der Kosten bei einer Datenpanne
 WolfGPT: Die „aufgerüstete“ dunkle KI für Malware
WolfGPT: Die „aufgerüstete“ dunkle KI für Malware
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.