Исследователи ИБ-компании Trend Micro обнаружили новое вредоносное ПО Royal, которое является бета-версией программы-вымогателя Roy/Zeon , связанной с синдикатом Conti.
По данным Trend Micro , программа-вымогатель Royal нацелена в основном на жертв в США, Бразилии и Мексике. Для доставки Royal используется фишинговая атака с обратным звонком (callback phishing), в результате которой злоумышленники убеждают жертву установить ПО для удаленного доступа.
Цепочка заражения Royal
Расследование Trend Micro показало, что скомпилированное вредоносное ПО Royal используется для сброса инструментов, необходимых для проникновения в систему жертвы – QakBot — также известного как QBot, QuackBot и Pinkslipbot, банковский троян, его основная цель — кража учетных данных (логинов, паролей и т. д.) для входа в финансовые сервисы. Модульный многоцелевой ботнет, распространяемый по электронной почте, который становится все более популярным среди злоумышленников в качестве сети распространения вредоносных программ, таких как Trickbot и Emotet.
» data-html=»true» data-original-title=»QakBot»>QakBot и Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.
» data-html=»true» data-original-title=»Cobalt Strike»>Cobalt Strike для бокового перемещения, и сканер NetScan – для поиска удаленных систем, подключенных к сети.
После проникновения в систему злоумышленники используют инструменты PCHunter, PowerTool, GMER и Process Hacker, чтобы отключить все службы, связанные с ПО безопасности. Затем они извлекают данные жертвы с помощью инструмента RClone. В одной из атак злоумышленники использовали инструмент ADFind для поиска каталогов Active Directories, а затем запустили средство для удаленного управления RDPEnable на зараженной машине.
ФБР отметило, что киберпреступники используют домены, имитирующие домены легитимных компаний, и покупают рекламные услуги для продвижения своих фишинговых сайтов в результатах поиска. Кроме того, купленная реклама использовалась для подделывания сайтов финансовых платформ, в частности сервисов для обмена криптовалют.
Ранее в этом году Министерство здравоохранения и социальных служб США (HSS) выпустило предупреждение для американских медицинских организаций в связи с непрекращающимися кибератаками группировки вымогателей Roya l. Проанализировав предыдущие успешные атаки банды, ИБ-исследователи HSS пришли к выводу, что эта группа хакеров нацелена исключительно на медицинские учреждения и является угрозой для всего сектора общественного здравоохранения.