Sinds september vorig jaar zijn honderden organisaties slachtoffer van de Royal-ransomware geworden, waarbij vooral gebruik is gemaakt van phishingmails, zo melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security (pdf). De criminelen vroegen meer dan 275 miljoen dollar aan losgeld van getroffen organisaties en bedrijven. Onder andere ziekenhuizen, zorginstellingen, productiebedrijven, communicatieaanbieders en onderwijsinstellingen zijn het doelwit geweest.

"Phishingmails behoren tot de succesvolste methodes waardoor de Royal-groep initieel toegang krijgt", aldus de FBI. Tweederde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.

De FBI stelt dat er aanwijzingen zijn dat de Royal-groep mogelijk onder een andere naam verder gaat of met een 'spin-off variant' komt. Zo zijn er overeenkomsten tussen de Royal-ransomware en Blacksuit-ransomware gevonden. Op besmette systemen zijn door de FBI tal van .bat-bestanden aangetroffen, die worden gebruikt voor het aanmaken van nieuwe admingebruikers, het aanpassen van policies, instellen van registersleutels en uitrollen van de ransomware.

Om dergelijke aanvallen te voorkomen doen het CISA en de FBI meerdere aanbevelingen, waaronder het maken van offline, versleutelde back-ups, het uitschakelen van command-line en scripting activiteiten en rechten, het uitschakelen van ongebruikte poorten, updaten van software, toepassen van netwerksegmentatie en multifactorauthenticatie en het verplichten van beheerdersrechten voor het kunnen installeren van software.