O mais recente e melhor sobre a operação de ransomware Royal…

Introdução

Nos últimos meses, apoiamos várias organizações que foram atingidas por agentes de ameaças de ransomware. Neste blog, gostaríamos de compartilhar algumas das táticas, técnicas e procedimentos (TTPs) mais recentes usadas pelo grupo Royal ransomware. Esperamos que isso ajude as organizações e outros respondentes de incidentes que estão trabalhando em casos semelhantes.

Ransomware real

Royal tem estado muito ativo nos últimos meses. A análise de seu site de vazamento ( link da cebola ) mostra que apenas em novembro/dezembro de 2022 eles publicaram quase 60 vítimas. Com base em nossos casos de resposta a incidentes, sabemos que nem todas as vítimas foram publicadas em seu site de vazamento, portanto, o número real é ainda maior. Se você quiser saber mais sobre o grupo e seu ransomware, confira esta postagem da Microsoft.

Visão geral do TTP

Abaixo uma visão geral dos TTPs observados para o ransomware Royal:

Destaques

Execução de malware de acesso inicial
Continua sendo interessante ver quais truques o Qbot emprega para evitar a detecção de anexo malicioso e executá-lo em um host. Para o nosso caso, vemos a seguinte cadeia de infecção:

Um alô para proxylife(https://twitter.com/pr0xylif)eno Twitter que segue este malware e compartilha detalhes sobre o fluxo de configuração e execução.

UAC Bypass
Para executar seus scripts maliciosos, o grupo Royal usou um UAC bypass muito interessante com uma tarefa agendada padrão, uma técnica conhecida, mas descoberta pela primeira vez por nós. A parte interessante é que é muito fácil perder o que está acontecendo, este evento é registrado no PowerShell quando este bypass é executado:

Para saber mais sobre essa técnica, confira este blog da Elastic.

Dicas de caça/detecção

Uma das maneiras mais fáceis de encontrar vestígios de atividades relacionadas a grupos de ransomware com base nos logs de eventos do Windows é pesquisar por:

• Tarefas agendadas no log de eventos do aplicativo;
• A atividade do PowerShell, por padrão, os pontos de extremidade do Windows 7+ registram muito bem as atividades do PowerShell;
• Instalações de serviço de janela, frequentemente usadas para persistência pelo Cobalt Strike.

• Royal aproveita mais de uma família de malware de acesso inicial, IcedId foi relatado anteriormente que os vemos usando Qbot para acesso inicial;
• Forte dependência do PowerShell para atingir objetivos e usado durante as fases de ataque;
• PowerSploit e AdFind continuam sendo escolhas populares para grupos de ransomware realizarem atividades de reconhecimento e escalonamento de privilégios;
• Velocidade sobre abordagem furtiva, os operadores de ransomware Royal movem-se muito rapidamente do acesso inicial ao comprometimento total do domínio sem se importar muito com alertas que são acionados por produtos de segurança;
• Contando com vários backdoors e acesso persistente por meio de beacons Qbot e Cobalt Strike;
• Vários destinos de exfiltração de dados, vimos o aplicativo Dropbox e MegaSync sendo instalado e usado;
• Tarefas agendadas usadas para persistência e implantação de ransomware.

Somos uma empresa de resposta a incidentes especializada em apoiar organizações que enfrentam um ataque cibernético. Ajudamos nossos clientes a permanecerem invictos!

Suporte de resposta a incidentes, entre em contato com [email protected] ou acessehttps://www.invictus-ir.com/247

Dúvidas ou sugestões, entre em contato conosco em [email protected]