De Royal Ransomware Group verscheen eerder dit jaar voor het eerst en heeft tot nu toe tientallen bedrijven over de hele wereld het slachtoffer gemaakt. De groep lijkt te opereren onder toezicht van andere bekende ransomware-bendes, waaronder Conti Groep. Het dreigingsniveau van koninklijke aanvallen is HOOG en organisaties moeten voorzorgsmaatregelen nemen om te voorkomen dat ze het slachtoffer worden.

Belangrijkste bevindingen van het rapport

• Unieke benadering om anti-ransomware-verdediging te omzeilen: Royal ransomware breidt het concept van gedeeltelijke codering uit, wat betekent dat het de mogelijkheid heeft om een ​​vooraf bepaald deel van de bestandsinhoud te coderen en zijn gedeeltelijke codering te baseren op een flexibel percentage codering, wat detectie uitdagender maakt voor anti-ransomware-oplossingen.
• Multi-threaded ransomware: Royal ransomware maakt gebruik van meerdere threads om het coderingsproces te versnellen.
• Wereldwijde ransomware-operatie: Royal ransomware werkt over de hele wereld, en naar verluidt op zichzelf. De groep lijkt ransomware-as-a-service niet te gebruiken of zich te richten op een specifieke sector of land.
• Hoge ernst: Cybereason beoordeelt het dreigingsniveau van Royal Ransomware als HOOG, gezien de snelle toename van aanvallen van deze groep in de afgelopen 60-90 dagen.

Ransomware-aanvallen kunnen worden gestopt. Cybereason doet de volgende aanbevelingen aan organisaties om hun risico te verminderen:

• Oefen goede beveiligingshygiëne: implementeer bijvoorbeeld een beveiligingsbewustzijnsprogramma voor werknemers en zorg ervoor dat besturingssystemen en andere software regelmatig worden bijgewerkt en gepatcht.
• Bevestig dat belangrijke spelers op elk moment van de dag kunnen worden bereikt: Kritieke reactieacties kunnen worden uitgesteld wanneer aanvallen plaatsvinden tijdens vakanties en weekenden.
• Voer periodieke tafeloefeningen en -oefeningen uit: betrek de belangrijkste belanghebbenden van andere functies buiten de beveiliging, zoals juridische zaken, personeelszaken, IT en topmanagers, zodat iedereen zijn rol en verantwoordelijkheden kent om een ​​zo soepel mogelijke reactie te garanderen.
• Implementeer duidelijke isolatiepraktijken: dit voorkomt verdere toegang tot het netwerk en voorkomt dat ransomware zich naar andere apparaten verspreidt. Beveiligingsteams moeten bedreven zijn in zaken als het loskoppelen van een host, het vergrendelen van een gecompromitteerd account en het blokkeren van een kwaadaardig domein.
• Overweeg waar mogelijk kritieke accounts te vergrendelen: het pad dat aanvallers vaak volgen bij het verspreiden van ransomware over een netwerk, is het escaleren van privileges naar het admin-domeinniveau en vervolgens de ransomware implementeren. Teams moeten sterk beveiligde accounts voor noodgevallen aanmaken in de active directory die alleen worden gebruikt wanneer andere operationele accounts uit voorzorg tijdelijk zijn uitgeschakeld of ontoegankelijk zijn tijdens een ransomware-aanval.
• Implementeer EDR op alle endpoints: Endpoint-detectie en -respons (EDR) blijft de snelste manier voor bedrijven in de publieke en private sector om de plaag van ransomware aan te pakken.

Over Cybereason 

Cybereason is het XDR-bedrijf dat samenwerkt met Defenders om aanvallen op het eindpunt, in de cloud en in het hele bedrijfsecosysteem te beëindigen. Alleen het AI-gestuurde Cybereason Defense Platform biedt gegevensopname op planetaire schaal, operationele MalOp™-detectie en voorspellende respons die ongeslagen is tegen moderne ransomware en geavanceerde aanvalstechnieken. Cybereason is een beursgenoteerd internationaal bedrijf met hoofdkantoor in Boston met klanten in meer dan 40 landen.

Meer informatie: https://www.cybereason.com/

Volg ons: Blog | Twitter | Facebook

BRON Cyberseizoen