На этой неделе Координационный центр кибербезопасности сектора здравоохранения (HC3), который является частью Министерства здравоохранения и социальных служб США, опубликовал отчет, предупреждающий отрасль здравоохранения об угрозе, которую представляет новая группа программ-вымогателей известная под названием "Royal". Этот отчет появился через месяц после того, как администрация Байдена провела второй Международный саммит по борьбе с программами-вымогателями и предупредила, что атаки программ-вымогателей опережают усилия Соединенных Штатов по их смягчению. В прошлом месяце Федеральное бюро расследований (ФБР) также опубликовало совместный бюллетень по кибербезопасности, который предупредил организации об опасности, которую представляет банда вымогателей Hive.

Однако, в отличие от Hive, Royal не работает в соответствии с моделью "программы-вымогатели как услуга" (RaaS). Вместо того, чтобы вооружать аффилированных лиц своими программами-вымогателями, Royal компрометирует сети своих целей и распространяет свои программы-вымогатели. Согласно отчету HC3, группа вероятно состоит из опытных участников из других групп вымогателей на основе передовых тактик, методов и процедур (TTP) Royal.

Первоначально группа начала свою деятельность с использованием шифровальщика банды вымогателей ALPHV/BlackCat, а затем перешла на использование шифровальщика ZEON. Однако в сентябре группа вымогателей назвала себя "Royal" и представила собственную программу-вымогатель, которая шифрует файлы с расширением .royal. При развертывании программа-вымогатель Royal удаляет все теневые копии томов и шифрует общие сетевые ресурсы, чтобы заблокировать распространенные методы восстановления файлов.

Как только программа-вымогатель завершает шифрование файлов жертв, она оставляет после себя сообщение с требованием выкупа, инструктируя жертв установить браузер Tor и посетить сайт переговоров с жертвами Royal. Как и многие другие группы вымогателей, Royal также имеет специальный сайт утечки (DLS) в сети Tor, где она публикует информацию о своих атаках с целью двойного вымогательства. Если жертвы не платят выкуп, то Royal не только не передает ключи дешифрования, но и публикует эксфильтрованные копии файлов жертв. Плата за выкуп Royal может варьироваться от 250 000 до более 2 миллионов долларов.

Исследователи кибербезопасности наблюдали, как Royal распространяет свои программы-вымогатели с помощью фишинговых атак, сетевых вторжений и вредоносной рекламы с помощью программ, которые кажутся законным программным обеспечением, но на самом деле являются программами-вымогателями. В случае вторжений в сеть группа часто использует уязвимости в системе безопасности, чтобы закрепиться, а затем развертывает Cobalt Strike, чтобы обеспечить постоянное присутствие, собирать учетные данные и перемещаться по скомпрометированной сети, прежде чем развернуть программу-вымогатель Royal.

Хотя отчет HC3 в первую очередь предназначен для предупреждения сектора здравоохранения об этой группе программ-вымогателей, Royal не ограничивает свои атаки этим сектором. Группа вымогателей также атакует широкий круг организаций, включая школы, юридические фирмы, производителей и некоммерческие организации. Жертвы Royal в основном базируются в США, но группа наносила удары и по организациям в других странах. Угроза программ-вымогателей только растет, поэтому организации во всех странах должны сохранять бдительность и принимать меры по борьбе с программами-вымогателями.