Royal
Royal ist eine Ransomware-Gruppierung, die bekannt ist für ihre raffinierten Angriffsmethoden und das gezielte Vorgehen gegen die Opfer in verschiedenen Branchen.
Akteur
- Ransomware-Akteur
- Seit September 2022 aktiv
- Herkunft: Russland
Eingesetzte Malware
- Ransomware
Angriffsmethoden
Royal verwendet vorrangig (Spear-)Phishing-Angriffe, um in Netzwerke zu gelangen, gefolgt von der Ausnutzung von Schwachstellen innerhalb der Netzwerkumgebung. Danach verbreiten die Angreifer die Ransomware im Netzwerk, um Daten zu verschlüsseln und die Systeme zu sperren.
Auszug aus Wissensdatenbank MITRE ATT&CK®:
- T1566.001 Phishing: Spear phishing Attachment
- T1078 Valid Accounts
- T1059 Command and Scripting Interpreter
- T1559 Inter-Process Communication
- T1106 Native API
- T1053.005 Scheduled Task/Job: Scheduled Task
- T1569.002 System Services: Service Execution
- T1204.002 User Execution: Malicious File
- T1543.003 Create or Modify System Process: Windows Service
- T1547 Boot or Logon Autostart Execution
- T1574.001 Hijack Execution Flow: DLL Search Order Hijacking
- T1486 Data Encrypted for Impact
- T1020 Automated Exfiltration
- T1567 Exfiltration Over Web Service
- T1021.002 Remote Services: SMB/Windows Admin Shares
- T1135 Network Share Discovery
Weitere Informationen
- Speziell für Windows entwickelt
- Verwendet Social-Engineering-Techniken für Erstzugang
- Angriffsziele:
- Große Unternehmen und Organisationen in Nordamerika und Europa
- Kritische Infrastruktur
- Verarbeitendes Gewerbe
- Kommunikationswesen
- Finanzdienstleistungen
- Gesundheitswesen
- Öffentliche Gesundheitsfürsorge
- Öffentliche Verwaltung
- Bildungswesen