Deutschland
 

Royal-Ransomware

Neue Erpressersoftware bedroht Healthcare-Branche

Das US-Gesundheitsministerium (HHS) warnt vor einer neuen Ransomware namens Royal, die es vor allem auf den Healthcare-Bereich abgesehen hat.
Von 
CSO | 12. Dezember 2022 11:36 Uhr
Laut US-Gesundheitsministerium haben es die Angreifer hinter der Ransomware Royal vor allem auf die Gesundheitsbranche abgesehen.
Laut US-Gesundheitsministerium haben es die Angreifer hinter der Ransomware Royal vor allem auf die Gesundheitsbranche abgesehen.
Foto: aslysun - shutterstock.com

Die Ransomware Royal wurde erstmals im September 2022 entdeckt. Laut HHS stellt die Erpressersoftware vor allem eine zunehmende Bedrohung für den Gesundheitssektor dar. Die Angreifer hätten Lösegeldforderungen in Höhe von 250.000 bis zwei Millionen Dollar gestellt, so die US-Behörde. Sie würden dabei aber nicht nur die Opferdaten verschlüsseln, sondern auch mit einer Veröffentlichung im Darknet drohen.

Taktiken von anderen Ransomware-Gruppen bekannt

"Im Gegensatz zu anderen Ransomware-Familien, die das Ransomware-as-a-Service (RaaS)-Geschäftsmodell verwenden, wird Royal von einer privaten Gruppe betrieben, die wahrscheinlich aus erfahrenen Akteuren anderer Gruppen besteht", erklärt das HHS und verweist auf die Verwendung von Elementen aus früherer Ransomware-Operationen.

Sobald die Täter ein Netzwerk kompromittiert hätten, würden sie Aktivitäten durchführen, die von anderen Operationen bekannt seien. "Dazu gehören der Einsatz von Cobalt Strike zur Persistenz, das Ausspähen von Anmeldeinformationen und die seitliche Bewegung durch ein System, bis sie schließlich die Dateien verschlüsseln", heißt es in der HHS-Mitteilung.

Ursprünglich hätten die Royal-Betreiber das Verschlüsselungsprogramm von BlackCat verwendet. Dann seien sie zu Zeon gewechselt, das eine Ransomware-Notiz generierte, die der von Conti ähnlich sei. Diese Notiz sei im September 2022 in Royal geändert worden. "Die Royal-Ransomware ist eine ausführbare 64-Bit-Datei, die in C++ geschrieben ist und auf Windows-Systeme abzielt", so die US-Gesundheitsbehörde.

"Die Malware verschlüsselt Daten sowohl auf lokalen Laufwerken als auch auf Netzwerkfreigaben mit dem AES-Algorithmus. Je nach Größe können Dateien entweder vollständig oder teilweise verschlüsselt werden. Sobald der Verschlüsselungsprozess abgeschlossen ist, wird ihre Erweiterung in ".royal" geändert", so die Behörde weiter.

Auch Microsoft warnte vor kurzem vor der neune Royal-Ransomware. Demnach wurden die Angreifer dabei beobachtet, wie sie bösartige Links in Malvertising, Phishing-E-Mails, gefälschte Foren und Blog-Kommentare einbetteten. Die Microsoft-Forscher heraus, dass sie beispielsweise Google-Anzeigen für Malvertising missbrauchen, den E-Mail-Schutz durch die Verwendung von Kontaktformularen umgehen und böswillige Installer auf legitim aussehenden Websites und Repositories verwenden.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.
Folgen: