Специалисты CISA и ФБР опубликовали новые данные о вымогательской группировке Royal, подтвердив предыдущие сообщения о том, что хакеры, похоже, готовятся к ребрендингу и переименованию в BlackSuit.
Еще летом текущего года издание Bleeping Computer сообщало, что вымогательская группировка Royal добавила в свой арсенал шифровальщик BlackSuit. Это подтвердило сообщения TrendMicro и других ИБ-исследователей о том, что хакеры готовятся к ребрендингу в связи с усилением внимания со стороны правоохранительных органов, которое группировка привлекла после резонансной атаки на город Даллас в мае 2023 года (до этого группа активно атаковала медицинские учреждения в США)
Как теперь сообщают ФБР и Агентство по кибербезопасности и защите инфраструктуры (CISA), по их мнению, в ближайшее время Royal действительно проведет ребрендинг.
«С сентября 2022 года атакам Royal подверглись более 350 жертв по всему миру, а сумма затребованных выкупов превысила 275 млн долларов США. Royal осуществляет кражу данных и вымогательство перед шифрованием, а затем публикует данные жертв на сайте для утечек, если выкуп не выплачивается, — рассказывают правоохранители. — Есть основания полагать, что Royal готовится к ребрендингу и/или появлению нового [шифровальщика]. Программа-вымогатель Blacksuit имеет ряд схожих с Royal характеристик кода».
Хотя Royal продолжает проводить атаки, вымогательское ПО BlackSuit так же недавно использовалось против ряда организаций. К примеру, атаке BlackSuit подвергся один из самых популярных американских зоопарков, ZooTampa.
Кроме того, еще в мае текущего года эксперты компании Trend Micro, сообщали, что BlackSuit использовался для атак на пользователей Windows и Linux. Изучив образцы BlackSuit и Royal, исследователи обнаружили 90% сходство, что позже подтверждали и другие компании, занимающиеся кибербезопасностью.
В своем отчете ФБР и CISA пишут, что в ходе атак Royal и BlackSuit использовалось и легитимное ПО, а также инструменты с открытым кодом. Среди них: опенсорсные решения для туннелирования Chisel и Cloudflared, а также Secure Shell (SSH) Client, OpenSSH и MobaXterm для установления SSH-соединений.
«Также в системах жертв был обнаружен публично доступный инструмент для кражи учетных данных Mimikatz и инструменты для сбора паролей от компании Nirsoft, — говорится в сообщении. — Легитимные средства для удаленного доступа (AnyDesk, LogMein и Atera Agent) также использовались для доступа к бэкдорам».
Кроме того, в отчете отмечается, что в ходе одной из кампаний группировка использовала рекламу в Google Ads, в итоге атаковав десятки юридических фирм и предприятий по всей территории США, а также одну из популярнейших гоночных трасс в Великобритании.
«Royal — это группировка, которая, по-видимому, состоит из опытных участников других групп, поскольку она демонстрирует элементы других вымогательских операций, — рассказывают CISA и ФБР. — Тогда как большинство других известных операторов вымогательского ПО работали по модели Ransomware-as-a-Service, Royal, по-видимому, является закрытой группой без аффилированных лиц, с финансовой мотивацией в качестве основной цели».
