CISA dan FBI telah mengeluarkan penasehat bersama yang menyoroti meningkatnya ancaman di balik serangan ransomware Royal yang sedang berlangsung yang menargetkan banyak sektor infrastruktur penting AS, termasuk perawatan kesehatan, komunikasi, dan pendidikan.
Ini mengikuti saran yang dikeluarkan oleh Departemen Kesehatan dan Layanan Kemanusiaan (HHS), yang tim keamanannya terungkap pada Desember 2022 bahwa operasi ransomware telah dikaitkan dengan berbagai serangan terhadap organisasi layanan kesehatan AS.
Sebagai tanggapan, the FBI dan CISA berbagi indikator kompromi dan daftar taktik, teknik, dan prosedur (TTP) terkait, yang akan membantu pembela HAM mendeteksi dan memblokir upaya untuk menyebarkan muatan ransomware Royal di jaringan mereka.
“CISA mendorong pembela jaringan untuk meninjau CSA dan menerapkan mitigasi yang disertakan,” badan keamanan siber AS dikatakan pada hari Kamis.
Badan-badan federal meminta semua organisasi yang berisiko menjadi sasaran untuk mengambil langkah-langkah konkret untuk melindungi diri mereka sendiri dari ancaman ransomware yang meningkat.
Untuk melindungi jaringan organisasi mereka, admin perusahaan dapat memulai dengan memprioritaskan perbaikan dari setiap kerentanan yang diketahui telah dieksploitasi oleh penyerang.
Melatih karyawan untuk menemukan dan melaporkan upaya phishing secara efektif juga penting. Pertahanan keamanan siber selanjutnya dapat diperkuat dengan mengaktifkan dan menerapkan autentikasi multi-faktor (MFA), mempersulit penyerang untuk mengakses sistem dan data sensitif.
Sampel yang dikirimkan ke platform ID-Ransomware untuk dianalisis menunjukkan bahwa geng penargetan perusahaan semakin aktif mulai akhir Januari, menunjukkan dampak besar operasi ransomware ini pada korbannya.
Permintaan laporan insiden Royal
Meskipun FBI mengatakan bahwa membayar uang tebusan kemungkinan akan mendorong penjahat dunia maya lain untuk bergabung dalam serangan tersebut, para korban didesak untuk melaporkan insiden ransomware Royal ke kantor lapangan FBI setempat atau CISA terlepas dari apakah mereka telah membayar uang tebusan atau tidak.
Informasi tambahan apa pun akan membantu mengumpulkan data penting yang diperlukan untuk melacak aktivitas grup ransomware, membantu menghentikan serangan lebih lanjut, atau meminta pertanggungjawaban penyerang atas tindakan mereka.
Royal Ransomware adalah operasi pribadi yang terdiri dari aktor ancaman berpengalaman yang dikenal sebelumnya bekerja dengan geng kejahatan dunia maya Conti yang terkenal kejam. Aktivitas jahat mereka hanya melihat lonjakan aktivitas sejak Septembermeski pertama kali terdeteksi pada Januari 2022.
Meskipun mereka awalnya menggunakan enkripsi dari operasi lain seperti BlackCat, mereka telah beralih menggunakan enkripsi mereka sendiri.
Yang pertama adalah Zeon, yang menghasilkan catatan tebusan yang serupa dengan yang digunakan oleh Conti, tetapi mereka beralih ke enkripsi baru pada pertengahan September setelah melakukan rebranding menjadi “Royal”.
Malware itu baru-baru ini ditingkatkan untuk mengenkripsi perangkat Linuxsecara khusus menargetkan mesin virtual VMware ESXi.
Operator kerajaan mengenkripsi sistem perusahaan target mereka dan meminta pembayaran uang tebusan yang besar mulai dari $250.000 hingga puluhan juta per serangan.
Operasi ransomware ini juga menonjol dari yang lain karena taktik rekayasa sosialnya untuk menipu korban perusahaan agar menginstal perangkat lunak akses jarak jauh sebagai bagian darinya serangan panggilan balik phishingdi mana mereka berpura-pura menjadi penyedia perangkat lunak dan layanan pengiriman makanan.
Selain itu, grup tersebut menggunakan strategi unik untuk memanfaatkan akun Twitter yang diretas untuk men-tweet detail target yang dikompromikan kepada jurnalis, berharap dapat menarik liputan berita dan menambah tekanan lebih lanjut pada korban mereka.
Tweet ini berisi tautan ke data yang bocor, yang diduga dicuri kelompok tersebut dari jaringan korban sebelum mengenkripsinya.
