Royal

Überblick

Royal ist eine Ransomware-Gruppe, hinter der nach Einschätzung von Trend Micro erfahrene Cyberkriminelle vermutet werden. Die Akteure sollen zuvor dem Umfeld von Conti Team One angehört haben und bringen entsprechend ausgereiftes Fachwissen in ihre Angriffe ein. Die Gruppe geht gezielt und mehrstufig vor: Sie verschafft sich zunächst Zugang zu einem Netzwerk, breitet sich anschließend systematisch aus, greift Daten ab und verschlüsselt schließlich die Systeme der betroffenen Einrichtungen. Die verschlüsselten Dateien werden mit der Endung „.royal“ versehen. Charakteristisch ist die Kombination aus erprobten kriminellen Vorgehensweisen und einem breiten Werkzeugkasten aus legitimen Administrationsprogrammen und etablichen Angriffsframeworks, mit dem die Täter über einen längeren Zeitraum unauffällig in den kompromittierten Umgebungen agieren. Betroffen sind Einrichtungen unterschiedlicher Branchen. Die professionelle Arbeitsweise und die nachweisbare Nähe zu früheren Conti-Strukturen heben Royal von weniger versierten Ransomware-Akteuren ab.

Taktiken & Vorgehen

Der Erstzugang erfolgt über Spearphishing mit präparierten Anhängen sowie über HTML Smuggling, bei dem ein passwortgeschütztes Archiv mit einer ISO-Datei und einer darin verborgenen LNK-Datei zur Ausführung von Qbot dient. Qbot wird über die Windows-Eingabeaufforderung („cmd.exe“) gestartet, Cobalt Strike über kodierte PowerShell-Befehle. Zur Verankerung richten die Täter Cobalt Strike als Windows-Dienst ein und nutzen Registry-Run-Schlüssel. Mittels eines UAC-Bypasses werden erhöhte Rechte erlangt. Für die laterale Bewegung kommen privilegierte Domänenkonten, Pass-the-Hash sowie die Admin-Freigabe „C$“ zum Einsatz. Zur Erkundung dienen AdFind, PowerSploit (etwa „FindLocalAdmin“) und Mimikatz. Weiter werden Werkzeuge wie Brute Ratel C4, RClone, PsExec, Chisel, Cloudflared, OpenSSH sowie Fernwartungssoftware wie AnyDesk, Atera, LogMeIn und Syncro genutzt. Daten werden zu Cloud-Speichern wie Mega und Dropbox abgeflossen, die C2-Kommunikation läuft über HTTPS und über SMB-gekapselte Named Pipes.

Schutzmaßnahmen

Eingehende E-Mails sollten auf Spearphishing-Anhänge sowie auf per HTML Smuggling transportierte ISO- und LNK-Dateien gefiltert und das Mounten von ISO-Abbildern eingeschränkt werden. Die Ausführung kodierter PowerShell- und „cmd.exe“-Befehle sollte protokolliert und überwacht werden, ebenso die unbefugte Einrichtung neuer Windows-Dienste und Registry-Run-Einträge. Gegen Pass-the-Hash und den Missbrauch privilegierter Domänenkonten sollten Kontotrennung und eingeschränkte Admin-Freigaben („C$“) umgesetzt werden; das Auslesen von Anmeldedaten durch Mimikatz sollte durch Schutz des Speicherzugriffs erschwert werden. Der Einsatz nicht genehmigter Fernwartungssoftware wie AnyDesk, Atera oder LogMeIn sowie von Tunnelwerkzeugen wie Chisel und Cloudflared sollte unterbunden werden. Ausgehender Datenverkehr zu Cloud-Speichern und über RClone sollte überwacht werden, ebenso C2-Verkehr über HTTPS und SMB-Named-Pipes.