ABD federal verilerine göre, hızlı hareket eden grubun Eylül 2022’deki ilk faaliyetinden bu yana fidye talepleri şimdiden 275 milyon doları aştığından, Royal fidye yazılımı çetesi, potansiyel olarak yeniden markalama veya yan ürün çabalarını da içeren yeni bir faaliyet alanına hazırlanıyor gibi görünüyor. yetkililer.
Salı günü FBI ve CISA’nın ortak tavsiyesi, bağlı kuruluşlar olmaksızın faaliyet gösteren ve kurbanlardan elde ettiği verileri acımasızca yayınlayan fidye yazılımı grubunun hızla gelişmeye devam ettiğini gösterdi.
Ajanslara göre, kuruluşundan bu yana sadece bir yıl içinde, grup halihazırda dünya çapında 350’den fazla kurbanı keyfi bir şekilde – belirli bölgeleri veya sektörleri hedeflemeden – hedef aldı ve 1 ila 12 milyon dolar arasında fidye talep etti. Bugüne kadarki kurbanlar arasında imalat, iletişim, eğitim ve sağlık hizmetleri de dahil olmak üzere kritik altyapı sektörlerindeki kuruluşlar yer alıyor; sonuncusu ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS) güvenlik ekibinin dikkatini çekti.
Pek çok araştırmacının artık feshedilmiş Conti Group’un küllerinden ortaya çıktığına inandığı Royal, yıl ortasında ortaya çıkan ve başlangıcından itibaren benzersiz bir gelişmişlik sergileyen bir başka fidye yazılımı olan Blacksuit olarak yeniden markalaşmaya hazır olabilir. Yetkililer, bu hareketin yalnızca HHS’nin soruşturması değil, aynı zamanda Mayıs ayında Dallas şehrine düzenlenen yüksek profilli saldırının ardından federal yetkililer tarafından artan incelemeden kaynaklanabileceğini söyledi.
Danışmana göre “Royal, yeniden markalaşma çabası ve/veya bir yan ürün çeşidi için hazırlanıyor olabilir”. “Blacksuit fidye yazılımı, Royal’e benzer bir dizi tanımlanmış kodlama özelliğini paylaşıyor.”
Royal Fidye Yazılımı Operasyonlarına İlişkin Yeni Bilgiler
Genel olarak, Royal’e ilişkin son federal rehber, kurumların Mart ayındaki tavsiyelerine yönelik bir güncellemedir. — grubun operasyonlarına ve sonraki potansiyel hamlelerine yeni bir ışık tutuyor.
Royal, kuruluşundan bu yana, muhtemelen Conti ile daha önceki ilişkisinden gelen sağlam bir duruş ve yenilikçilik sergiledi. Araştırmacılar, grubun tespit edilmesinden kısa bir süre sonra, grubun fidye yazılımı sahnesine fidye yazılımını dağıtmak ve tespit edilmekten kaçınmak için çeşitli yöntemlerle donanmış olarak geldiğini, böylece mağdurların yanıt verme şansına sahip olmadan ciddi hasar verebileceğini söyledi.
Royal’e ilişkin son istihbarat, grubun orijinal kısmi şifreleme ve çifte gasp taktiklerini kullanmaya devam ettiğini ortaya koyuyor. Analistler ayrıca kurbanın ağını ele geçirmenin açık ara en başarılı yönteminin kimlik avı olduğunu söyledi; Ajanslara göre vakaların %66,7’sinde kimlik avı e-postaları yoluyla ağlara ilk erişim sağlandı.
Ajanslar, “Açık kaynak raporlarına göre, kurbanlar, kötü amaçlı PDF belgeleri ve kötü amaçlı reklam içeren kimlik avı e-postaları aldıktan sonra bilmeden Royal fidye yazılımı sağlayan kötü amaçlı yazılım yüklediler.” dedi.
Kurbanların %13,3’ünde ikinci en yaygın giriş modu Uzak Masaüstü Protokolü (RDP) aracılığıyla gerçekleşti ve bazı durumlarda Royal, sanal özel ağ (VPN) kimlik bilgilerini toplayarak ilk erişim ve kaynak trafiği elde etmek için halka açık uygulamalardan veya aracılardan yararlandı. Ajansların bildirdiğine göre hırsız günlüklerinden.
Grup, bir ağa erişim sağladıktan sonra, ağdaki dayanağı güçlendirmek ve komuta ve kontrol (C2) ile iletişim kurmak için yasal Windows yazılımı ve açık kaynaklı bir tünel açma aracı olan Chisel dahil olmak üzere birden fazla araç indiriyor. Royal ayrıca bir ağ üzerinde yanal olarak hareket etmek için sıklıkla RDP’yi kullanıyor ve kalıcılık için AnyDesk, LogMeIn ve Atera gibi uzaktan izleme ve yönetim (RMM) yazılımlarından yararlanıyor.
Kısmi Şifrelemenin Evrimi
Royal’in kuruluşundan bu yana kullandığı benzersiz kısmi şifreleme yaklaşımı, kendi özel yapım dosya şifreleme programını kullanan fidye yazılımının en son versiyonuyla operasyonlarının önemli bir yönü olmaya devam ediyor. Royal’in gelişmiş kısmi şifrelemesi, tehdit aktörünün bir dosyadaki belirli bir veri yüzdesini şifrelemek üzere seçmesine olanak tanır, böylece daha büyük dosyalar için şifreleme yüzdesi düşürülür ve grubun tespitten kaçmasına yardımcı olur.
Grup aynı zamanda çifte şantaj uygulamaya devam ediyor; şifrelemeden önce verileri sızdırıyor ve fidye talepleri karşılanmadığı takdirde şifrelenmiş kurban verilerini kamuya açıklayacakları tehdidinde bulunuyor.
Danışmana göre, “Kraliyet aktörleri, kurbanların ağlarına erişim sağladıktan sonra antivirüs yazılımını devre dışı bırakıyor ve fidye yazılımını dağıtıp sistemleri şifrelemeden önce büyük miktarda veriyi sızdırıyor.”
Ajansların tespitine göre grup, bu sızmayı başarmak için Cobalt Strike gibi meşru siber sızma testi araçlarını ve Ursnif/Gozi gibi kötü amaçlı yazılım araçlarını ve türevlerini veri toplama ve sızma için yeniden kullanıyor ve verileri başlangıçta bir ABD IP adresine gönderiyor.
‘Kraliyet Muamelesinden’ Kaçınmak
Federal danışma belgesi, Royal fidye yazılımı saldırılarıyla ilişkili dosyaların, programların ve IP adreslerinin bir listesini içerir.
Royal veya diğer fidye yazılımı gruplarının tuzağına düşmekten kaçınmak için FBI ve CISA, kuruluşların, saldırganların ağlarındaki mevcut kusurlardan yararlanmalarını zorlaştırmak amacıyla, istismar edilen bilinen güvenlik açıklarını düzeltmeye öncelik vermelerini tavsiye ediyor.
Royal’in en başarılı giriş noktasının kimlik avı olduğu göz önüne alındığında, federaller çalışanların kurban olmalarını önlemek için kimlik avı dolandırıcılıklarını tespit edip bildirmeleri konusunda eğitim verilmesini de öneriyor. Kurumlara göre çok faktörlü kimlik doğrulamanın sistemler arasında etkinleştirilmesi ve uygulanması da önemli bir savunma taktiği.