Bericht: Ransomwaregang Royal erpresst 350 Firmen um 275 Millionen US-Dollar

In einem Zeitraum von etwas mehr als einem Jahr hat die Ransomwaregang Royal dem Federal Bureau of Investigation (FBI) und der Cybersecurity & Infrastructure Security Agency (CISA) weltweit mehr als 350 Organisationen erpresst und dadurch rund 275 Millionen US-Dollar erpresst.

Das geht aus einem aktualisierten Bericht hervor. Darin geben FBI und CISA an, dass die Cyberkriminellen international operieren und es auf kritische Infrastrukturen und Unternehmen abgesehen haben.

Bekannte Masche

Als Einfallsvektor setzen sie den Behörden zufolge primär auf gefälschte E-Mails. Das sei in knapp 70 Prozent der dokumentierten Attacken so gewesen. Es gebe aber auch Zugriffe über kompromittierte RDP-Verbindungen. Fallen Opfer auf die E-Mail-Finte rein und öffnen den Dateianhang, installiert sich die Ransomware. Dann sollen die Kriminellen Antiviren-Anwendungen deaktivieren, Daten ausleiten und erst dann die Systeme verschlüsseln.

So haben sie, wie heutzutage in dieser Cybercrimesparte üblich, zwei Druckmittel, um Lösegeld zu erpressen. Den Schlüssel für die Daten wollen sie erst nach der Zahlung rausrücken. Außerdem drohen sie mit der Veröffentlichung der erbeuteten internen Daten. Die Lösegeldsummen sollen sich auf Beträge zwischen 1 und 11 Millionen US-Dollar belaufen. In einem Dokument listen die Behörden Hinweise (Indicator of Compromise IoC) auf, an denen Admins eine Kompromittierung erkennen können.

FBI und CISA weisen darauf hin, dass sie Indikatoren für ein Rebranding und eine Spin-off-Variante der Ransomware entdeckt haben. So weist etwa der Verschlüsselungstrojaner Blacksuit ähnliche Code-Charakteristiken auf. So ein Rebranding ist nicht unüblich. Dadurch fangen Gangster quasi noch einmal bei null an und versuchen so etwa laufenden Ermittlungen zu entkommen.

(des)