#RoyalRansomware è uno dei numerosi #gruppi che sono emersi dopo lo scioglimento del famigerato gruppo #Conti ed è noto per il suo stretto legame con altri gruppi #ransomware nati dalla scissione di Conti. Secondo Yelisey Bohuslavskiy, chief research officer della società di #threatintelligence Red Sense, Royal ha affinato il suo #downloader utilizzando tattiche e tecniche che sembrano essere ispirate direttamente ad altri gruppi post-Conti. I downloader sono progettati per infettare un #endpoint e installare funzionalità aggiuntive su richiesta. Gli attaccanti che utilizzano il malware Conti, secondo gli studi condotti dai ricercatori, sono rimasti fedeli utilizzatori di diversi tipi di downloader, tra cui #Emotet, #IcedID e #QBot. Recentemente, Royal ha sviluppato il proprio #loader. Secondo Bohuslavskiy, il malware presenta caratteristiche notevoli come la sua dimensione ridotta, inferiore a 250 KB, e uno scopo ben preciso: installare #CobaltStrike e stabilire immediatamente una connessione con un #C2 di Royal. Il principale sviluppatore di Royal ha affermato in chat online che questa caratteristica è stata appositamente progettata. "In particolare, il loader non include un modulo o una funzione per la crittografia, una caratteristica che il principale programmatore ha affermato di aver incluso per dare agli utenti finali la flessibilità di incorporare i loro algoritmi di crittografia preferiti", ha dichiarato Bohuslavskiy in un post su #LinkedIn.

Royal è emerso all'inizio del 2022 come uno dei tanti gruppi nati dopo la scissione di Conti, tra cui #Alphv/BlackCat, #AvosLocker, #BlackBasta, #HelloKitty, #Quantum, #Roy/Zeon e #SilentRansom. Inizialmente, Royal utilizzava #ransomware sviluppati da altri gruppi. Tuttavia, a partire da settembre dello scorso anno, ha cominciato ad utilizzare una propria variante di #ransomware, che aggiunge l'estensione ".royal" ai nomi dei file criptati. Bohuslavskiy ha affermato che gli attacchi di Royal sono perpetrati da piccoli team di quattro o cinque persone che operano in modo molto "gerarchico e aziendale". L'organizzazione conta tra i "50 e 60 partecipanti attivi", anche se la struttura complessiva è complicata. Bohuslavskiy ritiene che ci siano almeno due centri di potere: il #Team2 di Conti, che è diventato il gruppo #Quantum e svolge un ruolo amministrativo, e una divisione tecnica separata. Le responsabilità di entrambe le divisioni si sovrappongono notevolmente. Gli attacchi sono condotti sia dal gruppo Royal che da individui fidati che utilizzano il loro ransomware, basandosi su connessioni personali preesistenti con ex membri dei gruppi #Conti, #REvil ed ex-#Hive. Gli attaccanti di Royal collaborano anche con molti altri servizi, come #Emotet e #IcedId/#Anubis, così come con altre persone che fanno parte dell'orbita post-Conti.

Gli attaccanti di #RoyalRansomware ottengono l'accesso iniziale a una vittima attraverso campagne di #phishing, lavorando con intermediari per l'accesso iniziale, sfruttando vulnerabilità note e accedendo a connessioni remote desktop non sufficientemente protette.

Il gruppo ha colpito una varietà di settori, inclusi settori critici come #sanità, #istruzione e #manifattura, come hanno avvertito l'FBI e l'#AgenziaPerLaSicurezzaDelleInfrastruttureInformatiche e della #SicurezzaCibernetica in un avviso di marzo.

"Gli attori di Royal esfiltrano i dati dalle reti delle vittime riutilizzando strumenti legittimi di #penetrationtesting, come #CobaltStrike, e strumenti malware e derivati come #Ursnif/Gozi, per l'aggregazione ed #esfiltrazione dei dati", hanno dichiarato le agenzie. "Dopo aver ottenuto l'accesso alle reti delle vittime, gli attori di Royal disabilitano il software #antivirus ed esfiltrano grandi quantità di dati prima di infettare infine i sistemi con il #ransomware e crittografarli".

Le richieste di #riscatto iniziali di solito vanno da 1 a 11 milioni di dollari, da pagare in #bitcoin.

A marzo, Red Sense ha segnalato che più di 1.000 organizzazioni sembravano essere state prese di mira da una campagna di #socialengineering organizzata da Royal. La campagna ha inviato alle organizzazioni un'email in cui affermava che erano state vittime del gruppo #Midnight e ha inviato loro un file che presumibilmente conteneva un elenco di ciò che era stato rubato. In realtà, il file era una versione del #malwareloader di Royal, progettato per consentire agli attaccanti di entrare nella rete della vittima, consentendo loro di esfiltrare dati e criptare i sistemi.

Royal si ispira fortemente a strategie che si sono dimostrate efficaci. Come #Qbot, il loader di Royal è progettato per eludere gli antivirus "sfruttando una DLL a alta fiducia senza oscuramento" e per sfruttare una vulnerabilità del print spooler di Microsoft Windows, nota come CVE-2022-41073, per ottenere #privilegi dopo aver ottenuto l'accesso iniziale. Incorpora inoltre "funzionalità chiave" di Anubis, una versione di #IcedID che è stata ulteriormente potenziata da Conti, ha affermato Bohuslavskiy.

L'uso di una DLL di fiducia richiama quanto fatto da Qbot l'anno scorso, quando ha sfruttato varie falle di elevazione dei privilegi, compresa la calcolatrice di Windows 7 e successivamente il pannello di controllo di Windows 10, per caricare ed eseguire un file DLL maligno contenente il suo downloader, come riportato da #BleepingComputer.

Un altro gruppo ransomware nato dalla scissione di Conti, #BlackBasta, è un altro utilizzatore frequente di Qbot, infettando i sistemi con il downloader e utilizzandolo per installare Cobalt Strike e lo strumento simile #BruteRatel.

Bohuslavskiy ha dichiarato che non è chiaro se Black Basta sia ora l'unico utilizzatore o proprietario di Qbot: le conversazioni tra i criminali suggeriscono che il gruppo #Clop potrebbe utilizzarlo anche. Tuttavia, sembra che l'accesso a Qbot sia diventato più limitato, il che ha probabilmente spinto gruppi come Royal a sviluppare i propri loader.

Come evidenziato, molti gruppi #ransomware utilizzano strategie di attacco collaudate che hanno prodotto risultati illegali per anni, anche se i nomi dei gruppi stessi o dei loro strumenti continuano a cambiare.

Il gruppo #RoyalRansomware rappresenta un'evoluzione del panorama ransomware, derivato dal noto gruppo Conti. Si ispira ad altre organizzazioni simili, mantendo una stretta collaborazione con loro. Il gruppo ha sviluppato un proprio loader e ha colpito diversi settori con attacchi condotti in modo gerarchico e aziendale. Utilizzano strategie collaudate, incorporando caratteristiche e funzionalità da altri gruppi ransomware. Questo sottolinea come molti gruppi ransomware adottino playbook con strategie di attacco comprovate che hanno generato profitti illegali nel corso degli anni, nonostante i nomi dei gruppi stessi o degli strumenti utilizzati possano cambiare.