Royal lautet der Name der Ransomware, vor der jetzt das Ministerium für Gesundheitspflege und Soziale Dienste der Vereinigten Staaten (US Department of Health and Human Services, kurz HHS) warnt. Die Erpressersoftware wurde erstmals in diesem Jahr beobachtet und tritt seitdem häufiger auf. Die Royal-Ransomware werde manuell von Menschen gesteuert und habe bereits zu Forderungen in Höhe von Millionen von US-Dollar geführt. Seit der ersten Sichtung beobachtet das Health Sector Cybersecurity Coordination Center (HC3) Angriffe auf Gesundheitseinrichtungen. Aus den bisherigen Erfahrungen mit Ransomware im Gesundheitswesen solle Royal daher als ernste Bedrohung des Gesundheitswesens betrachtet werden. Laut der Warnung des HHS trat die Royal-Ransomware erstmalig im September dieses Jahres in Erscheinung. Die Lösegeldforderungen nach der Infektion rangierten im Bereich von 250.000 US-Dollar bis über 2 Millionen US-Dollar. Dem HHS zufolge scheint es sich bei den Drahtziehern hinter Royal um erfahrene Akteure aus anderen Cybergangs zu handeln, da bei den Untersuchungen der Vorfälle auch Elemente aus vorherigen Ransomware-Vorfällen gefunden wurden. Während die meisten bekannten Ransomware-Gangs das Ransomware-as-a-Service-Geschäftsmodell verfolgten, scheint Royal eine Gruppe ohne Verbündete oder Kunden zu sein, die jedoch finanzielle Interessen verfolgt. Die Gruppe behauptet, Daten für sogenannte Double-Extortion-Angriffe zu stehlen, wobei sie sensible Daten ausschleusen. Double-Extortion bedeutet, dass die Daten nicht nur verschlüsselt werden, sondern die Kopien dazu im Untergrund zum Verkauf angeboten werden – üblicherweise sollen die Opfer die Daten selbst zurückkaufen, so wie Continental etwa bei dem kürzlichen Angriff mit der Lockbit-Ransomware. Nachdem die Royal-Gang in ein Netzwerk einbrechen konnte, machen sie weiter, wie auch von anderen Angriffen bekannt: Sie verteilen etwa Cobalt Strike, um sich nachhaltig einzunisten. Weiter versuchen sie, an Zugangsdaten zu gelangen und sich quer durchs Netzwerk zu bewegen, um am Ende die Dateien zu verschlüsseln, erläutert das HHS. Ursprünglich nutzten die bösartigen Akteure einen Encryptor namens BlackCat, schwenkten inzwischen aber auf Zeon um, das Lösegeldforderungstexte erstellt, die denen der Conti-Ransomware ähnelten. Die Lösegeldforderungen lägen als README.TXT vor und enthielten einen Link, der auf eine individuelle, private Verhandlungs-Webseite führe. Zeon wurde schließlich im September 2022 durch Royal ersetzt. Royal ist eine in C++ programmierte 64-bittige Anwendung für Windows-Systeme. Die Ransomware löscht alle Schattenkopien, die einen Schnappschuss von Dateien enthalten und mit denen sich Dateien wiederherstellen ließen. Sie verschlüsselt alle erreichbaren Netzwerkfreigaben, die im lokalen Netz und auf dem lokalen Rechner zu finden sind. Die Verschlüsselung setzt auf den AES-Algortihmus, den Schlüssel und Initialisierungsvektor legt die Malware mit einem in der ausführbaren Datei hartkodiertem öffentlichen RSA-Schlüssel verschlüsselt ab. Die Schadsoftware kann je nach Dateigröße und gegebenenfalls einem Übergabeparameter Dateien nur zum Teil verschlüsseln. Nach der Verschlüsselung verpasst sie der Datei die Endung .royal. Mehrere Akteure hätten die Royal-Malware verteilt, aber auch eine Cybergang, die Microsoft als DEV-0569 bezeichnet. Diese Gruppe liefere die Malware mit menschlich gesteuerten Angriffen anstatt automatisch aus und setze auf neue Techniken, Auweichmanöver und andere Malware nach der Kompromittierung. So nutzte sie bösartig manipulierte Werbung (Malvertising), Phishingmails, gefälschte Foren und Blog-Kommentare. Microsoft habe derartiges Malvertising in Google Ads beobachtet. Zudem missbrauchte die Gruppe ein Kontaktformular einer Einrichtung, womit sie E-Mail-Schutzmaßnahmen umgehen konnte und platzierte bösartig manipulierte Installationsdateien auf legitim aussehenden Softwareseiten und Repositorien. Das HSH schließt seine Warnung damit, dass es sich bei Royal um eine neuere Ransomware handele, über die im Vergleich zu anderen derartigen Schädlingen noch wenig bekannt sei. Die bisherigen Infektionen mit Royal im Gesundheitswesen seien vorrangig auf Einrichtungen in den USA fokussiert gewesen. Bei allen Vorfällen hätten die Drahtzieher behauptet, 100 Prozent der Daten, die bei den Opfern ausgeschleust wurden, veröffentlicht zu haben. Ransomware-Angriffe sind im Gesundheitswesen leider nicht neu und auch nicht ungewöhnlich. Vergangene Woche wurde ein Krankenhaus in Versailles so stark von einem Ransomware-Angriff getroffen, dass nicht nur Operationen abgesagt, sondern sogar Patienten in andere Krankenhäuser verlegt werden mussten, um deren Versorgung sicherzustellen. Vor rund zwei Wochen fiel das Klinikum Lippe einer Cyber-Attacke zum Opfer und konnte nach „intensiven Verhandlungen“ an die nötigen Informationen zur Entschlüsselung von beim Angriff verschlüsselter Daten gelangen. Zur Erkennung von Cobalt Strike Beacons gab es kürzlich ein Update für Desinfec’t, das das Aufspüren solcher Hintertüren ermöglicht.