🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Ransomware

Por dentro do infame grupo Royal Ransomware: revelando seu reinado de caos cibernético

O grupo de ransomware Royal é um participante relativamente novo no mundo do cibercrime, com sua primeira atividade conhecida datando de meados de 2022. De todas as vítimas que o grupo publicou, calculamos que o grupo Royal Ransomware vazou mais de 249 terabytes de dados até o momento.
June 4, 2023
8
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

História e Emergência

O grupo de ransomware Royal é um participante relativamente novo no mundo do cibercrime, com sua primeira atividade conhecida datando de meados de 2022. O grupo rapidamente ganhou notoriedade por suas táticas sofisticadas e ataques bem-sucedidos contra alvos importantes, incluindo governos, profissionais de saúde e instituições financeiras. De todas as vítimas que o grupo postou, calculamos que o grupo Royal Ransomware vazou mais de 249 terabytes de dados até o momento.

A partir de setembro de 2022 ou por volta de setembro de 2022, uma nova variação do ransomware Royal foi utilizada por cibercriminosos para infiltrar-se em entidades norte-americanas e internacionais. De acordo com o FBI e a CISA, essa versão específica emprega um programa de criptografia personalizado e evoluiu das versões anteriores que utilizavam”Zeon“como carregador. O ransomware Royal se infiltra na rede da vítima e desativa qualquer software antivírus presente. Os atacantes então exfiltram uma grande quantidade de dados antes de iniciar o processo de criptografia do ransomware. As demandas de pagamento que variam de aproximadamente $1 milhão a $11 milhões de dólares em Bitcoin são feitas pelos atacantes. Curiosamente, as notas de resgate iniciais do ransomware Royal não contêm valores de resgate e instruções de pagamento. Em vez disso, as vítimas precisam interagir com os atacantes por meio de uma URL.onion acessada pelo navegador Tor.

Ao longo de 2022 e início de 2023, o grupo de ransomware Royal continuou a evoluir e refinar suas táticas, com novas variantes de seu ransomware sendo descobertas regularmente. Em janeiro de 2023, o grupo ganhou as manchetes com um ataque massivo à cidade de Dallas, Texas. O ataque resultou em interrupções significativas nos serviços da cidade, incluindo sistemas de emergência 911 e portais de pagamento on-line. O grupo é particularmente hábil em explorar vulnerabilidades em software corporativo e, com o tempo, esse grupo desenvolveu suas próprias ferramentas personalizadas de malware e criptografia.

Tendências observadas

Com base nos dados presentes na Figura 1, parece que o grupo Royal Ransomware vem aumentando seus ataques às empresas ao longo do tempo. O número de empresas-alvo parece ter aumentado de 2 em setembro de 2022 para 37 em março de 2023.

Figura 1: Tendências nas entidades alvo do Royal Ransomware Group

Além disso, parece haver um padrão de variabilidade no número de empresas-alvo a cada mês. Por exemplo, há um grande aumento de outubro a novembro de 2022 e, em seguida, um aumento menor de novembro a dezembro. Embora haja uma diminuição no número de empresas-alvo de março a abril de 2023, a tendência é de aumento geral. A partir dos dados publicados sobre essas vítimas em seu site de relações públicas, também analisamos que o Royal Ransomware Group tem como alvo empresas com uma receita de mais de 48 bilhões no total até o momento.

Distribuição regional das vítimas

Os dados da Figura 2 sugerem que a maioria das vítimas do ataque do Royal Ransomware está localizada no Estados Unidos, com um total de 106 casos relatados. Alemanha vem em segundo lugar com 14 casos relatado, seguido por Canadá com 11 casos. O Reino Unido tem 7 casos notificados, o Brasil com 5 e a Itália e a França com 3 casos cada. Os demais países têm um ou dois casos cada.

Figura 2: Detalhamento por país das vítimas do Royal Ransomware Group

É possível que os Estados Unidos sejam a região mais visada pelo grupo devido a uma variedade de fatores, como o grande número de empresas e indivíduos que usam tecnologia no país, o alto nível de penetração da Internet ou simplesmente o fato de os atacantes por trás do ransomware terem optado por se concentrar nessa região.

A Alemanha e o Canadá também parecem ser alvos significativos do ataque do Royal Ransomware, mas em menor grau do que os Estados Unidos. Isso pode indicar que os atacantes estão se concentrando em regiões com economias fortes ou altos níveis de desenvolvimento tecnológico. No entanto, também é possível que o número de casos relatados em cada país seja influenciado por fatores como o nível de conscientização sobre segurança cibernética, a disponibilidade de recursos para responder ao ataque e a disposição das vítimas de denunciar o incidente. O fato de países como Brasil, Itália e França também aparecerem na lista sugere que o ataque do Royal Ransomware não se limita a uma região ou grupo de países específico. Em vez disso, parece ser um fenômeno global que afeta empresas e indivíduos em todo o mundo.

Análise e atribuição

O grupo de ransomware Royal utiliza vários métodos para obter acesso inicial às redes das vítimas. O a tática mais comum são e-mails de phishing bem-sucedidos. As vítimas, sem saber, instalam um malware que entrega o ransomware Royal após receberem e-mails de phishing contendo documentos PDF maliciosos ou por meio de publicidade maliciosa.

Outra forma pela qual o grupo obtém acesso é por meio Compromisso de RDP. Além disso, o grupo foi observado explorando aplicativos voltados para o público para obter acesso inicial do FBI.

Também há relatórios indicando que o grupo de ransomware Royal pode usar corretores para obter acesso inicial e gerar tráfego coletando credenciais de rede privada virtual (VPN) dos registros do ladrão, de acordo com fontes confiáveis de terceiros.

Além de sua experiência técnica, o grupo de ransomware Royal também demonstrou vontade de se envolver em negociações de alto risco com suas vítimas. Sabe-se que o grupo exige resgates multimilionários e ameaça vazar dados confidenciais se suas demandas não forem atendidas.

De acordo com um perfil na dark web publicado pela Socradar, Acredita-se que o grupo de ransomware Royal opere principalmente na Rússia e na Ucrânia. O grupo está vinculado a várias outras organizações cibercriminosas que operam na região e acredita-se que tenha fortes laços com cibercriminosos que falam russo.

Mitigações

Para aprimorar a postura de segurança de sua organização, as empresas podem implementar várias etapas de mitigação.

  • Realize auditorias e monitoramento regulares dos registros de eventos e incidentes para identificar padrões ou comportamentos incomuns.
  • Aplique configurações de segurança em seus dispositivos de infraestrutura de rede, como firewalls e roteadores.
  • Aproveite ferramentas e aplicativos que evitam que programas maliciosos sejam executados.
  • Redefina as credenciais de login do usuário comprometidas e aplique uma política de senha forte.
  • Além disso, as empresas podem aplicar medidas de proteção, backup e recuperação de dados. Eles também podem implementar a autenticação multifatorial em dispositivos e plataformas.
  • A avaliação e o treinamento regulares de habilidades de segurança para todo o pessoal também podem ser úteis.
  • A realização periódica de exercícios de equipe vermelha e testes de penetração pode melhorar a postura de segurança da organização.
  • O monitoramento de quaisquer anomalias nas contas e sistemas de usuários que possam indicar uma possível aquisição também é importante.

Indicadores de compromisso (IOCs)

Files

A file named 'readme_unlock_files.txt' or 'readme_files_unlock.txt' is dropped in the directories containing the encrypted files

A file named 'royal_info.txt' or 'royal_readme.txt' is dropped on the desktop

A registry key is created with the name 'WindowsUpdate'

A file named '7za.exe' is dropped in the Windows directory

A file named 'decrypt_files_.html' or 'decrypt_files_.txt' is dropped in the directories containing the encrypted files

A file named 'README_FOR_DECRYPT.txt' or 'README_TO_RECOVER_FILES.TXT' is dropped in the directories containing the encrypted files

 

IPv4

102[.]157[.]44[.]105

185[.]143[.]223[.]69

41[.]97[.]65[.]51

105[.]158[.]118[.]241

185[.]7[.]214[.]218

42[.]189[.]12[.]36

105[.]69[.]155[.]85

186[.]64[.]67[.]6

45[.]227[.]251[.]167

113[.]169[.]187[.]159

186[.]86[.]212[.]138

45[.]61[.]136[.]47

134[.]35[.]9[.]209

190[.]193[.]180[.]228

45[.]8[.]158[.]104

139[.]195[.]43[.]166

193[.]149[.]176[.]157

47[.]87[.]229[.]39

139[.]60[.]161[.]213

193[.]235[.]146[.]104

5[.]181[.]234[.]58

140[.]82[.]48[.]158

196[.]70[.]77[.]11

5[.]188[.]86[.]195

147[.]135[.]11[.]223

197[.]11[.]134[.]255

5[.]44[.]42[.]20

147[.]135[.]36[.]162

197[.]158[.]89[.]85

61[.]166[.]221[.]46

148[.]213[.]109[.]165

197[.]204[.]247[.]7

68[.]83[.]169[.]91

152[.]89[.]247[.]50

197[.]207[.]181[.]147

77[.]73[.]133[.]84

163[.]182[.]177[.]80

197[.]207[.]218[.]27

81[.]184[.]181[.]215

172[.]64[.]80[.]1

197[.]94[.]67[.]207

82[.]12[.]196[.]197

179[.]43[.]167[.]10

209[.]141[.]36[.]116

89[.]108[.]65[.]136

181[.]141[.]3[.]126

23[.]111[.]114[.]52

94[.]232[.]41[.]105

181[.]164[.]194[.]228

41[.]100[.]55[.]97

98[.]143[.]70[.]147

41[.]109[.]11[.]80

41[.]107[.]77[.]67

41[.]251[.]121[.]35

 

Domains

altocloudzone[.]live

myappearinc[.]com

sombrat[.]com

ciborkumari[.]xyz

parkerpublic[.]com

tumbleproperty[.]com

gororama[.]com

softeruplive[.]com

  

 

URLs

hxxps[:]//myappearinc[.]com/acquire/draft/c7lh0s5jv

hxxps[:]//pastebin[.]mozilla[.]org/Z54Vudf9/raw

 

SHA-1

41a79f83f8b00ac7a9dd06e1e225d64d95d29b1d

585b05b290d241a249af93b1896a9474128da969

65dc04f3f75deb3b287cca3138d9d0ec36b8bea0

a84ed0f3c46b01d66510ccc9b1fc1e07af005c60

c96154690f60a8e1f2271242e458029014ffe30a

 

SHA-256

08c6e20b1785d4ec4e3f9956931d992377963580b4b2c6579fd9930e08882b1c

19896a23d7b054625c2f6b1ee1551a0da68ad25cddbb24510a3b74578418e618

216047c048bf1dcbf031cf24bd5e0f263994a5df60b23089e393033d17257cb5

342b398647073159dfa8a7d36510171f731b760089a546e96fbb8a292791efee

4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7

4cd00234b18e04dcd745cc81bb928c8451f6601affb5fa45f20bb11bfb5383ce

74d81ef0be02899a177d7ff6374d699b634c70275b3292dbc67e577b5f6a3f3c

82f1f72f4b1bfd7cc8afbe6d170686b1066049bc7e5863b51aa15ccc5c841f58

8a983042278bc5897dbcdd54d1d7e3143f8b7ead553b5a4713e30deffda16375

8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451

b8c4aec31c134adbdbe8aad65d2bcb21cfe62d299696a23add9aa1de082c6e20

be030e685536eb38ba1fec1c90e90a4165f6641c8dc39291db1d23f4ee9fa0b1

d47d4b52e75e8cf3b11ea171163a66c06d1792227c1cf7ca49d7df60804a1681

f8cff7082a936912baf2124d42ed82403c75c87cb160553a7df862f8d81809ee

 

Onion Links

hxxp[:]//royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid[.]onion

hxxp[:]//royal4ezp7xrbakkus3oofjw6gszrohpodmdnfbe5e4w3og5sm7vb3qd[.]onion

Referências

Apêndice

Site Onion para o Royal Ransomware Group

Vikas Kundu
A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.
Hansika Saxena
Product Manager at CloudSEK with a background in cyber threat intelligence and a focus on user experience. She bridges research with product design to shape solutions that are intuitive and impactful.
Rishika Desai
Cyber Threat Researcher @ CloudSEK

Blogs relacionados

Este é um texto dentro de um bloco div.
Ransomware
January 29, 2025
5
min
Desmascarando grupos de ransomware ávidos por mídia: Bashe (APT73)
Leia mais
Este é um texto dentro de um bloco div.
Ransomware
min
Grande interrupção no pagamento: ransomware atinge a infraestrutura bancária indiana
Leia mais
Este é um texto dentro de um bloco div.
Ransomware
November 4, 2023
6
min
Underground Marketplace lança novo ransomware que oferece QBit com criptografia e personalização avançadas
Leia mais