ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), geçen yıl tehdit ortamında ortaya çıkan Kraliyet fidye yazılımı hakkında yeni bir danışma belgesi yayınladı.
CISA, “Kurbanların ağlarına erişim sağladıktan sonra, Royal aktörler virüsten koruma yazılımını devre dışı bırakır ve fidye yazılımını dağıtmadan ve sistemleri şifrelemeden önce büyük miktarda veriyi sızdırır” dedi.
Eylül 2022’den bu yana ABD ve uluslararası kuruluşları hedef alan özel fidye yazılımı programının, Zeon olarak adlandırılan önceki yinelemelerden evrimleştiğine inanılıyor.
Dahası, siber güvenlik şirketi Trend Micro’nun Aralık 2022’de ifşa ettiğine göre, bu sistemin eskiden Conti Team One’ın bir parçası olan deneyimli tehdit aktörleri tarafından işletildiği söyleniyor.
Fidye yazılımı grubu, fidye yazılımlarını kurbanlara ulaştırmanın bir yolu olarak geri arama kimlik avını kullanıyor; bu teknik, geçen yıl Conti kuruluşunun kapanmasının ardından ayrılan suç grupları tarafından yaygın olarak benimsenen bir teknik.
Diğer ilk erişim modları arasında uzak masaüstü protokolü (RDP), halka açık uygulamalardan yararlanma ve ilk erişim aracıları (IAB’ler) aracılığıyla yer alır.
Royal tarafından yapılan fidye talepleri, iletişim, eğitim, sağlık ve üretim dahil olmak üzere çeşitli kritik sektörleri hedef alan saldırılarla 1 milyon ila 11 milyon dolar arasında değişiyor.
CISA, “Royal fidye yazılımı, tehdit aktörünün şifrelemek için bir dosyadaki belirli bir veri yüzdesini seçmesine izin veren benzersiz bir kısmi şifreleme yaklaşımı kullanır.” “Bu yaklaşım, aktörün daha büyük dosyalar için şifreleme yüzdesini düşürmesine olanak tanıyor ve bu da tespit edilmekten kaçınmaya yardımcı oluyor.”
Siber güvenlik ajansı, Royal fidye yazılımı izinsiz girişlerinde Qakbot ile ilişkili çoklu komut ve kontrol (C2) sunucularının kullanıldığını söyledi, ancak şu anda kötü amaçlı yazılımın yalnızca Qakbot altyapısına dayanıp dayanmadığı henüz belirlenmedi.
İzinsiz girişler ayrıca yanal hareket için Cobalt Strike ve PsExec’in kullanılması ve sistem kurtarmayı önlemek için gölge kopyaların silinmesi ile karakterize edilir. Cobalt Strike ayrıca veri toplama ve sızdırma için yeniden tasarlandı.
Şubat 2023 itibariyle, Royal fidye yazılımı hem Windows hem de Linux ortamlarını hedefleyebilir. Yalnızca Ocak 2023’te 19 saldırıyla ilişkilendirilerek LockBit, ALPHV ve Vice Society’nin arkasına geçti.