Cyberspace

Ny Royal ransomware-gruppe undgår afsløring med delvis kryptering

Taktikken, der bruges af ransomware-gruppen Royal, giver mulighed for hurtig og snigende kryptering og deler ligheder med den hedengangne Conti-gruppe.

En ny ransomware-gruppe kaldet Royal, der blev dannet tidligere i år, har øget sine operationer betydeligt i løbet af de sidste par måneder og udviklet sit eget brugerdefinerede ransomware-program, der gør det muligt for angribere at udføre fleksibel og hurtig filkryptering. “Royal ransomware-gruppen opstod i begyndelsen af 2022 og har fået fart siden midten af året,” sagde forskere fra sikkerhedsfirmaet Cybereason i en ny rapport. “Dens ransomware, som gruppen implementerer gennem forskellige TTP’er, har påvirket flere organisationer over hele kloden. Gruppen selv mistænkes for at bestå af tidligere medlemmer af andre ransomware-grupper, baseret på ligheder, som forskere har observeret mellem Royal ransomware og andre ransomware-operatører.

Taktikken fra ransomware-gruppen Royal

Royal ransomware-gruppens taktik har ligheder med Contis, hvilket giver mistanke om, at den delvist består af tidligere medlemmer af den berygtede gruppe, der lukkede ned i maj 2022. Da det oprindeligt startede sine operationer i januar, var Royal afhængig af tredjeparts ransomware-programmer som BlackCat og Zeon, men i september skiftede det til sit eget skræddersyede filkrypteringsprogram.

Siden da har gruppen lavet snesevis af ofre fra forskellige industrisektorer, herunder Silverstone motorsportsbane i London. De fleste af ofrene er dog fra USA, og nogle tidlige statistikker tyder på, at gruppen formåede at overhale LockBit som den førende ransomware-trussel i november.

Royal-gruppen bruger phishing som en indledende angrebsvektor samt tredjepartsindlæsere som BATLOADER og Qbot til distribution. Indledende adgang efterfølges af implementering af et Cobalt Strike-implantat for vedholdenhed og for at bevæge sig sideværts inde i miljøet som forberedelse til at droppe ransomware-nyttelasten.

Delvis kryptering kan undgå at blive opdaget

Angribere kan udføre ransomware-programmet med tre kommandolinjeargumenter: en, der specificerer stien, der skal krypteres, en, der specificerer, hvilken procentdel af hver fils indhold der skal krypteres, og en, der giver et unikt ID til at identificere offeret.

Når det køres, starter programmet først vssadmin.exe Windows-værktøjet til at slette alle skyggekopier af filsystemet, en standardrutine, som de fleste ransomware-applikationer bruger til at forhindre filgendannelse fra Windows-backupmekanismen. Dernæst indstiller den flere filtyper og mapper til udelukkelse fra krypteringsrutinen. Dette inkluderer eksekverbare filer, hele Windows-mappen, så den ikke forstyrrer OS-operationen, og Tor-browsermappen, som er nødvendig for, at offeret kan få adgang til gruppens løsesumportal på Tor-netværket.

Programmet starter derefter en netværksscanning for at identificere computere på det samme netværk og forsøger derefter at oprette forbindelse til dem ved hjælp af SMB-protokollen for at afgøre, om de deler mapper. Dette gøres for at opbygge en liste over eksterne netværksfildelinger, der skal krypteres ud over de lokale filer på computeren.

Krypteringsprocessen er muti-threaded, og antallet af tråde er normalt dobbelt så mange CPU-kerner, der er angivet af systemet. Filkrypteringen sker via OpenSSL-biblioteket med AES256-krypteringen, og AES-krypteringsnøglen for hver fil krypteres derefter med en offentlig RSA-nøgle, der er hardkodet i ransomware-programmet. Dette sikrer, at kun angriberne kan gendanne AES-nøglerne ved hjælp af den private RSA-nøgle i deres besiddelse.

Før kryptering af filer bruger programmet Windows Restart Manager til at kontrollere, om de målrettede filer i øjeblikket bruges af andre tjenester eller applikationer og dræber disse applikationer, hvis de er. Det låser dem derefter til kryptering.

Det interessante aspekt i krypteringsrutinen er den fleksible delvise kryptering af filer, der er større end 5.245 MB baseret på den procentdel, der er bestået som et kommandolinjeargument. Mens delvis filkryptering i sig selv ikke er en ny taktik, og andre ransomware-programmer også bruger den til at fremskynde processen, er evnen til at tilpasse, hvor meget af en fil der skal krypteres, ny og kan have konsekvenser for sikkerhedsprogrammer, der normalt overvåger ændringer foretaget i filer for at fange mulige ransomware-angreb.

“Fragmenteringen og muligvis lav procentdel af krypteret filindhold, der resulterer, sænker chancen for at blive opdaget af anti-ransomware-løsninger,” siger forskerne.

Denne krypteringsmekanisme såvel som andre taktikker, der bruges af Royal, har ligheder med Conti. For eksempel, Conti ransomware brugte også 5.24 MB som en tærskel for delvis kryptering og opdelte derefter filen i flere lige store dele, krypterede en og sprang over en. Forskellen er, at Conti krypterede 50% af disse dele, hvilket resulterede i et mere ensartet mønster, som sikkerhedsprodukter kunne opdage.

“Denne lighed rejser spørgsmålet om, hvorvidt Royal ransomware-forfatterne har en forbindelse til Conti-gruppen, men i sig selv er den ikke stærk nok til at foreslå en direkte eller endelig forbindelse,” sagde Cybereason-forskerne.

Endelig vil krypterede filer have .royal extension tilføjet til dem og en løsesum notat kaldet README.TXT vil blive skrevet ind i hver mappe, der ikke er på udelukkelseslisten.

Kilde: CSO

Foto: Pexels

Scroll to Top