- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
По данным Trend Micro, программа-вымогатель Royal нацелена в основном на жертв в США, Бразилии и Мексике. Для доставки Royal используется фишинговая атака с обратным звонком (callback phishing), в результате которой злоумышленники убеждают жертву установить ПО для удаленного доступа.
Расследование Trend Micro показало, что скомпилированное вредоносное ПО Royal используется для сброса инструментов, необходимых для проникновения в систему жертвы – Cobalt Strike для бокового перемещения, и сканер NetScan – для поиска удаленных систем, подключенных к сети.
После проникновения в систему злоумышленники используют инструменты PCHunter, PowerTool, GMER и Process Hacker, чтобы отключить все службы, связанные с ПО безопасности. Затем они извлекают данные жертвы с помощью инструмента RClone. В одной из атак злоумышленники использовали инструмент ADFind для поиска каталогов Active Directories, а затем запустили средство для удаленного управления RDPEnable на зараженной машине.
ФБР отметило, что киберпреступники используют домены, имитирующие домены легитимных компаний, и покупают рекламные услуги для продвижения своих фишинговых сайтов в результатах поиска. Кроме того, купленная реклама использовалась для подделывания сайтов финансовых платформ, в частности сервисов для обмена криптовалют.
Ранее в этом году Министерство здравоохранения и социальных служб США (HSS) выпустило предупреждение для американских медицинских организаций в связи с непрекращающимися кибератаками группировки вымогателей Royal. Проанализировав предыдущие успешные атаки банды, ИБ-исследователи HSS пришли к выводу, что эта группа хакеров нацелена исключительно на медицинские учреждения и является угрозой для всего сектора общественного здравоохранения.
