FBI dan CISA telah mengungkapkan dalam sebuah peringatan bahwa kelompok ransomware Royal telah menyusup ke jaringan setidaknya 350 organisasi secara global sejak September 2022. Peringatan yang diperbarui ini, yang dibuat berdasarkan rilis asli pada bulan Maret, mencakup wawasan tambahan yang diperoleh selama penyelidikan FBI. Ini menyoroti bahwa operasi ransomware telah dikaitkan dengan permintaan tebusan lebih dari $275 juta. Penasihat tersebut menekankan bahwa Royal terlibat dalam eksfiltrasi dan pemerasan data sebelum enkripsi, dan jika uang tebusan tidak dibayarkan, kelompok tersebut mempublikasikan data korban ke situs kebocoran. Khususnya, email phishing telah diidentifikasi sebagai salah satu metode akses awal yang paling berhasil oleh pelaku ancaman Royal.
Pada bulan Maret, FBI dan CISA awalnya berbagi indikator kompromi dan daftar taktik, teknik, dan prosedur (TTP) untuk membantu para pembela HAM dalam mendeteksi dan menggagalkan upaya menyebarkan muatan ransomware Royal di jaringan mereka. Peringatan bersama ini dikeluarkan setelah tim keamanan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) mengungkapkan pada bulan Desember 2022 bahwa operasi ransomware bertanggung jawab atas beberapa serangan terhadap organisasi layanan kesehatan A.S.
Saran yang diperbarui ini memberikan informasi tambahan kepada pembela jaringan mengenai taktik, teknik, dan prosedur (TTP) dan indicators of compromise (IOCs) yang terkait dengan varian ransomware Royal. Hal ini mendorong pembela jaringan untuk meninjau peringatan yang diperbarui dan menerapkan mitigasi yang disertakan untuk melindungi dari serangan ransomware. FBI dan CISA merekomendasikan penerapan rekomendasi yang terdapat di bagian Mitigasi dalam nasihat tersebut untuk mengurangi kemungkinan dan dampak insiden ransomware. Saran ini juga mencakup rincian teknis dan indicators of compromise (IOCs) yang terkait dengan varian ransomware Royal yang diidentifikasi melalui aktivitas respons ancaman FBI pada Juni 2023. Penting bagi organisasi untuk memeriksa atau menyelidiki alamat IP yang diamati sebelum mengambil tindakan seperti pemblokiran. Selain itu, nasihat ini menggunakan kerangka kerja MITRE ATT&CK® for Enterprise, versi 13, untuk memberikan rincian teknis dan panduan bagi para pembela HAM.
Royal ke BlackSuit?
Pembaruan peringatan baru-baru ini juga menunjukkan potensi upaya rebranding atau munculnya varian spin-off oleh Royal, dengan ransomware BlackSuit menampilkan karakteristik pengkodean yang sama dengan Royal. Menurut laporan BleepingComputer pada bulan Juni, grup ransomware Royal telah bereksperimen dengan enkripsi BlackSuit baru, yang menunjukkan banyak kesamaan dengan enkripsi biasa yang digunakan oleh grup tersebut. Meskipun terdapat ekspektasi awal mengenai perubahan citra operasi ransomware Royal sejak munculnya ransomware BlackSuit pada bulan Mei, transisi ini tidak terwujud. Sampai sekarang, Royal terus secara aktif menargetkan organisasi perusahaan yang menggunakan BlackSuit dalam serangan terbatas.
Mengingat bahwa BlackSuit beroperasi sebagai entitas yang berbeda, ada spekulasi bahwa Royal mungkin sedang mempertimbangkan peluncuran subgrup yang berfokus pada jenis korban tertentu, karena rebranding tampaknya tidak lagi dapat dilakukan setelah ditemukannya kesamaan antara kedua enkripsi tersebut. Yelisey Bohuslavskiy, Partner dan Kepala R&D RedSense, menyatakan keyakinannya bahwa mungkin ada pengembangan lebih lanjut serupa dengan BlackSuit di masa depan. Namun, tampaknya pemuat baru dan loker Blacksuit baru merupakan eksperimen yang gagal, seperti yang dinyatakan kepada BleepingComputer.
Keterkaitan kelompok kejahatan dunia maya
Royal Ransomware adalah operasi swasta yang dilakukan oleh pelaku ancaman berketerampilan tinggi yang sebelumnya pernah bekerja dengan geng kejahatan dunia maya Conti yang terkenal. Meskipun kelompok ini pertama kali terdeteksi pada Januari 2022, aktivitas jahat mereka semakin meningkat sejak September di tahun yang sama[5]. Awalnya, kelompok ini menggunakan enkripsi ransomware dari operasi lain seperti ALPHV/BlackCat, yang kemungkinan besar akan menghindari perhatian, namun mereka kemudian beralih menggunakan alat mereka sendiri. Enkripsi pertama grup tersebut, Zeon, mengeluarkan catatan tebusan serupa dengan yang dihasilkan oleh Conti, tetapi mereka beralih ke enkripsi Royal setelah menjalani rebranding pada pertengahan September 2022. Baru-baru ini, malware tersebut telah ditingkatkan untuk mengenkripsi perangkat Linux dalam serangan yang menargetkan mesin virtual VMware ESXi.
Operator Royal biasanya menyusup ke jaringan target dengan mengeksploitasi kerentanan keamanan di perangkat yang dapat diakses publik, namun mereka juga dikenal karena serangan callback phishing. Selama serangan ini, ketika target menghubungi nomor telepon yang tertanam dalam email yang secara cerdik disamarkan sebagai perpanjangan langganan, penyerang memanfaatkan taktik rekayasa sosial untuk mengelabui korban agar menginstal perangkat lunak akses jarak jauh, sehingga memberi mereka akses ke jaringan target. Modus operandi operator Royal melibatkan enkripsi sistem perusahaan target mereka dan menuntut uang tebusan dalam jumlah besar mulai dari $250.000 hingga puluhan juta per serangan.
Royal ransomware adalah jenis malware yang sangat canggih dan berkembang pesat yang telah menghasilkan banyak pelanggaran yang menguntungkan pada tahun 2022. Grup ini tidak beroperasi sebagai Ransomware-as-a-Service melainkan grup pribadi tanpa afiliasi. Kelompok ini membeli akses langsung ke jaringan perusahaan dari Initial Access Broker (IAB) bawah tanah dan mengelola kampanye serangan secara internal. Kelompok ini sering menggunakan taktik pemerasan ganda, memeras korban karena menghapus data yang dicuri setelah mengancam akan mempublikasikannya, selain tuntutan tebusan untuk dekripsi file yang terinfeksi.
Sumber :
https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-royal
https://therecord.media/cisa-fbi-warn-royal-ransomware-gang-rebrands-blacksuit
https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/royal-ransomware
https://www.bleepingcomputer.com/news/security/fbi-royal-ransomware-asked-350-victims-to-pay-275-million/
https://www.aha.org/cybersecurity-government-intelligence-reports/2023-11-13-joint-cybersecurity-advisory-tlp-clear-stopransomware-royal-ransomware
https://www.cisa.gov/news-events/alerts/2023/11/13/cisa-releases-update-royal-ransomware-advisory
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a