Исследователи ИБ-компании Trend Micro обнаружили новое вредоносное ПО Royal, которое является бета-версией программы-вымогателя Roy/Zeon, связанной с синдикатом Conti.
По данным Trend Micro, программа-вымогатель Royal нацелена в основном на жертв в США, Бразилии и Мексике. Для доставки Royal используется фишинговая атака с обратным звонком (callback phishing), в результате которой злоумышленники убеждают жертву установить ПО для удаленного доступа.
Цепочка заражения Royal
Расследование Trend Micro показало, что скомпилированное вредоносное ПО Royal используется для сброса инструментов, необходимых для проникновения в систему жертвы – QakBot и Cobalt Strike для бокового перемещения, и сканер NetScan – для поиска удаленных систем, подключенных к сети.
После проникновения в систему злоумышленники используют инструменты PCHunter, PowerTool, GMER и Process Hacker, чтобы отключить все службы, связанные с ПО безопасности. Затем они извлекают данные жертвы с помощью инструмента RClone. В одной из атак злоумышленники использовали инструмент ADFind для поиска каталогов Active Directories, а затем запустили средство для удаленного управления RDPEnable на зараженной машине.
ФБР отметило, что киберпреступники используют домены, имитирующие домены легитимных компаний, и покупают рекламные услуги для продвижения своих фишинговых сайтов в результатах поиска. Кроме того, купленная реклама использовалась для подделывания сайтов финансовых платформ, в частности сервисов для обмена криптовалют.
Ранее в этом году Министерство здравоохранения и социальных служб США (HSS) выпустило предупреждение для американских медицинских организаций в связи с непрекращающимися кибератаками группировки вымогателей Royal . Проанализировав предыдущие успешные атаки банды, ИБ-исследователи HSS пришли к выводу, что эта группа хакеров нацелена исключительно на медицинские учреждения и является угрозой для всего сектора общественного здравоохранения.
