Royal: Microsoft warnt vor “innovativer” Ransomware-Gruppe

Microsoft hat eine neue Ransomware namens Royal analysiert, die erstmals im September entdeckt wurde. Sie wird von mehreren Bedrohungsakteuren verbreitet, wovon einer laut Microsoft auf “kontinuierliche Innovationen” setzt, um seine Schadsoftware zu verbreiten und vor Sicherheitsanwendungen zu verbergen.

Die Hintermänner bezeichnet Microsoft als DEV-0569, was allerdings nur ein vorläufiger Name ist, da Herkunft und Identität der Erpressergruppe weiterhin unbekannt sind.

Unter anderem nutzen die Cyberkriminellen Phishing-E-Mails mit gefährlichen Dateianhängen, um ihre Opfer zu attackieren. Sie enthalten unter anderem die Backdoor-Malware Batloader, um die eigentliche Ransomware einzuschleusen. Neben schädlichen Dateianhängen kommen auch manipulierte Links zum Einsatz, die angeblich auf Installationsprogramme und Updates für weit verbreitete Business-Anwendungen verweisen. Statt einer Software oder eines Updates erhalten Nutzer jedoch die besagte Backdoor und schließlich die Erpressersoftware Royal.

Angriffe erfolgen auch per Malvertising und Kontaktformular

Als eher ungewöhnlich bezeichnet Microsoft eine Angriffstechnik mit Kontaktformularen. Reagiert ein Opfer darauf, versenden die Hacker eine Antwort, die wiederum zum Klick auf einen Link verleiten soll. Der Link wiederum installiert die Backdoor Batloader.

Erst kürzlich soll die Gruppe DEV-0569 eine weitere Angriffsmethode zu ihrem Repertoire hinzugefügt haben. Hier werden laut Microsoft per Google Ads Malvertising-Links verbreitet – ebenfalls mit dem Ziel, ein Opfer zum Download von Batloader zu verleiten. Google sei über die missbräuchliche Nutzung seiner Anzeigenplattform bereits informiert, so Microsoft weiter.

Darüber hinaus fand Microsoft heraus, dass DEV-0569 auch zielgerichtete Angriffe ausführt, bei denen Anfälligkeiten in Netzwerken ausgenutzt werden. Ein kompromittiertes Netzwerk erlaube es den Erpressern ebenfalls, die Ransomware Royal einzuschleusen. Zudem sei beobachtet worden, dass die Angreifer Open-Source-Tools nutzten, um Sicherheitsanwendungen zu deaktivieren und eine Erkennung ihrer schädlichen Aktivitäten zu erschweren.

Microsoft weist auch darauf hin, dass der Einsatz von verschiedenen Infektionswegen der Gruppe die Möglichkeit, als sogenannter Access Broker aufzutreten. Statt selbst eine Ransomware in Stellung zu bringen könnten sie die mit der Backdoor erstellten Zugänge auch an andere Ransomware-Gruppen oder Cyberkriminelle verkaufen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Traditionelle Sicherheit versus Zero Trust-Architektur

Zero Trust richtig eingesetzt, kann es Organisationen bei der Umsetzung ihrer Transformation unterstützen, sagt Nathan…

4 Stunden ago

Router-Update legt Microsofts Online-Dienste lahm

Eigentlich sollte nur eine IP-Adresse geändert werden. Ein dazu benutzter Befehl legt über einen Router…

14 Stunden ago

Valide Ergebnisse in zehn Sekunden statt zwei Monaten

Feuerwehr Düsseldorf greift für die strategische Standortplanung auf ein geodatenbasiertes Tool zu.

1 Tag ago

Nürburgring auf Digitalisierungskurs

Die "Grüne Hölle" soll mithilfe Künstlicher Intelligenz noch sicherer werden.

1 Tag ago

Führungskräfte brauchen ökologisches Händchen

Gartner: 70 Prozent der Führungskräfte in der Technologiebeschaffung müssen bis 2026 Leistungsziele erreichen, die auf…

1 Tag ago

Deutsche sind klar Letzte in punkto Datenschutz

Cisco Consumer Privacy Survey zeigt: 57 Prozent der Deutschen sehen sich nicht in der Lage,…

1 Tag ago