.
A nova gangue de ransomware Royal foi flagrada visando o setor de saúde, informou o Departamento de Saúde e Serviços Humanos dos EUA (HHS).
A tripulação surgiu este ano e segue o padrão dupla extorsão playbook: ele rouba dados de redes infectadas, criptografa esses arquivos e depois cobra uma taxa para recuperar os dados e também para não vazar publicamente os documentos.
Em um boletim de segurança desta semana, o HHS disse às organizações de saúde para ficarem em alerta. Depois que os gângsteres reais comprometem a rede de uma vítima, eles normalmente exigem que as organizações desembolsem entre US$ 250.000 e mais de US$ 2 milhões cada, nos disseram.
“Além disso, em acordos reais anteriores que impactaram o [health-care and public health-care] setor, eles parecem estar focados principalmente em organizações nos Estados Unidos.” HHS observou [PDF]. “Em cada um desses eventos, o agente da ameaça afirmou ter publicado 100% dos dados que supostamente foram extraídos da vítima”.
Sem surpresa, a motivação dos criminosos é o ganho financeiro.
A gangue “parece ser um grupo privado”, em oposição a uma operação de ransomware como serviço com afiliados, acrescentou o HHS. “Royal é uma operação que parece consistir em atores experientes de outros grupos, já que foram observados elementos de operações anteriores de ransomware”, de acordo com o boletim de segurança.
Embora os bandidos tenham usado anteriormente o criptografador de BlackCat, em algum momento eles mudaram para Zeon, o que gerou uma nota de resgate semelhante à de Conti. A nota mudou para Royal em setembro.
A nota de resgate deixa claro que, se as exigências forem ignoradas, a gangue vazará para a dark web registros de clientes e funcionários e outros dados roubados da rede – e isso pode incluir informações pessoais e confidenciais das pessoas, como arquivos médicos e passaportes, bem como materiais proprietários.
De acordo com um anterior análise da Fortinet, o ransomware é um executável do Windows de 64 bits escrito em C++. “Ele é lançado via linha de comando, sugerindo que foi projetado para ser executado por meio de um operador após o acesso a um ambiente ser fornecido por outro método”, observou a empresa de segurança.
Além disso, a gangue não parece ter um vetor de acesso inicial preferencial, mas escolhe seu ponto de entrada com base na vítima.
Uma vez implantado, o malware começa a trabalhar excluindo todas as cópias de sombra de volume para garantir que as vítimas não possam recuperar seus arquivos facilmente.
Royal usa a biblioteca OpenSSL para criptografar arquivos com o algoritmo AES; e renomeia os arquivos e dá a eles uma extensão “.royal”. Enquanto isso, a chave e o IV são criptografados com uma chave pública RSA, que é codificada no executável, nos disseram.
Em um alerta no mês passado, a Microsoft disse que sua equipe observou recentemente uma equipe que chama de DEV-0569 implantando o ransomware Royal.
“O DEV-0569 depende notavelmente de malvertising, links de phishing que apontam para um downloader de malware que se apresenta como instalador de software ou atualizações incorporadas em e-mails de spam, páginas de fórum falsas e comentários de blog”, Redmond notado.
O alerta de ransomware Royal é o segundo boletim de segurança do HHS em algumas semanas. Na semana passada, a agência alertou as organizações de saúde sobre a Gangue de ransomware de Cubaseguindo um comunicado do FBI e da CISA sobre essa rede criminosa.
A gangue de Cuba atingiu mais de 100 organizações em todo o mundo, exigindo mais de US$ 145 milhões em pagamentos e extorquindo com sucesso pelo menos US$ 60 milhões desde agosto, e continua a atingir infraestrutura crítica, incluindo saúde.
“Devido à natureza dos alvos dos agentes de ameaças, eles representam uma ameaça para o setor de Saúde e Saúde Pública (HPH)”, disse o HHS [PDF] em seu alerta de 2 de dezembro. ®
.
