От ALPHV/BlackCat до Royal: эволюция группы достигла выкупа в $275 млн.
Отчет ФБР и CISA в очередной предупреждает об опасности известного шифровальщика.
Специалисты ФБР и агентства CISA опубликовали совместное предупреждение об активизации хакерской группировки под названием Royal ransomware. По данным ведомств, с сентября 2022 года злоумышленники атаковали не менее 350 компаний по всему миру. Еще в марте было выпущено заявление , согласно которому тогда хакеры зачастую требовали у жертв суммы, превышающие 250 миллионов долларов, в качестве выкупа.
Весной эксперты впервые подробно описали тактики и инструменты, используемые Royal ransomware. Это позволило многим организациям усилить защиту корпоративных систем, однако Royal продолжает совершенствовать свои методы и неизвестно, окажутся ли текущие меры эффективными.
В обновленном отчете сообщается, что за последние месяцы размер выкупа превысил 275 миллионов долларов.
Хакеры используют изощренную схему атак. Сначала тайно копируют ценные данные, отправляют на свои сервера и вымогают деньги, лишь затем приступают к шифрованию и публикуют ценные файлы на сайте утечек. Часто первичный доступ в систему осуществляется посредством фишинговых писем.
По данным экспертов, сейчас преступники тестируют новый шифровальщик BlackSuit, код которого очень похож на старое ПО. Возможно, позже появится ответвление группировки под этим названием для атак на определенные типы организаций.
Изначально ожидалось, что хакеры полностью переименуют Royal ransomware в BlackSuit после появления информации о новом шифровальщике в мае. Но «ребрендинга» мы так и не дождались. Группировка по-прежнему активно использует Royal, лишь в ограниченном количестве случаев применяя BlackSuit. Например, для нападений на крупный бизнес.
Royal ransomware ранее сотрудничала с известной преступной группировкой Conti. Несмотря на то, что группа появилась не так давно, в 2022 году, им удалось за короткий срок нанести огромный ущерб мировому бизнесу.
Изначально злоумышленники использовали инструменты других группировок, в частности вирус ALPHV/BlackCat, чтобы замаскировать свою деятельность. Однако впоследствии перешли на собственные разработки, в том числе шифровальщик Zeon, отчасти имитировавший Conti, и позже Royal. В последнее время этот вредоносный софт был модернизирован для шифрования устройств на базе Linuxврамках атак, нацеленных на виртуальные машины VMware ESXi.
Ваша приватность умирает красиво, но мы можем спасти её.