Royal: Microsoft warnt vor “innovativer” Ransomware-Gruppe

Microsoft hat eine neue Ransomware namens Royal analysiert, die erstmals im September entdeckt wurde. Sie wird von mehreren Bedrohungsakteuren verbreitet, wovon einer laut Microsoft auf “kontinuierliche Innovationen” setzt, um seine Schadsoftware zu verbreiten und vor Sicherheitsanwendungen zu verbergen.

Die Hintermänner bezeichnet Microsoft als DEV-0569, was allerdings nur ein vorläufiger Name ist, da Herkunft und Identität der Erpressergruppe weiterhin unbekannt sind.

Unter anderem nutzen die Cyberkriminellen Phishing-E-Mails mit gefährlichen Dateianhängen, um ihre Opfer zu attackieren. Sie enthalten unter anderem die Backdoor-Malware Batloader, um die eigentliche Ransomware einzuschleusen. Neben schädlichen Dateianhängen kommen auch manipulierte Links zum Einsatz, die angeblich auf Installationsprogramme und Updates für weit verbreitete Business-Anwendungen verweisen. Statt einer Software oder eines Updates erhalten Nutzer jedoch die besagte Backdoor und schließlich die Erpressersoftware Royal.

Angriffe erfolgen auch per Malvertising und Kontaktformular

Als eher ungewöhnlich bezeichnet Microsoft eine Angriffstechnik mit Kontaktformularen. Reagiert ein Opfer darauf, versenden die Hacker eine Antwort, die wiederum zum Klick auf einen Link verleiten soll. Der Link wiederum installiert die Backdoor Batloader.

Erst kürzlich soll die Gruppe DEV-0569 eine weitere Angriffsmethode zu ihrem Repertoire hinzugefügt haben. Hier werden laut Microsoft per Google Ads Malvertising-Links verbreitet – ebenfalls mit dem Ziel, ein Opfer zum Download von Batloader zu verleiten. Google sei über die missbräuchliche Nutzung seiner Anzeigenplattform bereits informiert, so Microsoft weiter.

Darüber hinaus fand Microsoft heraus, dass DEV-0569 auch zielgerichtete Angriffe ausführt, bei denen Anfälligkeiten in Netzwerken ausgenutzt werden. Ein kompromittiertes Netzwerk erlaube es den Erpressern ebenfalls, die Ransomware Royal einzuschleusen. Zudem sei beobachtet worden, dass die Angreifer Open-Source-Tools nutzten, um Sicherheitsanwendungen zu deaktivieren und eine Erkennung ihrer schädlichen Aktivitäten zu erschweren.

Microsoft weist auch darauf hin, dass der Einsatz von verschiedenen Infektionswegen der Gruppe die Möglichkeit, als sogenannter Access Broker aufzutreten. Statt selbst eine Ransomware in Stellung zu bringen könnten sie die mit der Backdoor erstellten Zugänge auch an andere Ransomware-Gruppen oder Cyberkriminelle verkaufen.