FBI ve CISA’nın ortak çabaları, Rayal fidye yazılımının arkasındaki tehdit aktörlerinin Crypto’da 11 milyon dolar kazandığını ortaya koyan kapsamlı bir Siber Güvenlik Danışmanlığının (CSA) oluşturulması ve dağıtılmasıyla sonuçlandı.
Bu danışma belgesi, Kraliyet fidye yazılımı tehdidi ve bununla ilişkili IOC’ler ve TTP’ler hakkında önemli bilgileri paylaşmak için tasarlanmıştır.
FBI’ın özel tehdit müdahale faaliyetleri, bu IOC’leri ve TTP’leri yakın zamanda Ocak 2023’te belirledi ve CSA, kuruluşların kendilerini bu kötü niyetli tehdide karşı korumalarına yardımcı olmak için bu bilgileri paylaşmayı hedefliyor.
Royal fidye yazılımının yeni bir türü, Eylül 2022’den bu yana siber suçlular tarafından hem ABD merkezli hem de yabancı kuruluşların güvenliğini ihlal etmek için kullanılıyor.
FBI ve CISA, belirli bir fidye yazılımı varyantı tarafından kullanılan özel olarak oluşturulmuş dosya şifreleme programının, “Zeon” olarak bilinen bir yükleyici kullanan önceki yinelemelerin gelişmiş bir versiyonu olduğuna inanıyor.
Eylem Akışı
Royal fidye yazılımının işleyiş biçimi, hedeflenen kuruluşların ağ güvenliklerini ihlal ettikten sonra virüsten koruma yazılımlarının devre dışı bırakılmasını içerir.
Sonuç olarak, fidye yazılımının nihai dağıtımından ve etkilenen bilgisayarların şifrelenmesinden önce saldırganlar tarafından önemli miktarda veri sızdırılır.
Royal fidye yazılımının operatörleri, kurbanlarından Bitcoin cinsinden bir fidye ödenmesini talep etti. Bu fidye talepleri, hedeflenen kuruluşun boyutuna ve çalınan verilerin hassasiyet düzeyine bağlı olarak yaklaşık 1 milyon ABD doları ile 11 milyon ABD doları arasında değişiyordu.
Kaydedilen olaylara dayanarak, Royal fidye yazılımının arkasındaki faillerin ilk fidye notlarında fidye miktarlarını ve ödeme ayrıntılarını vermedikleri gözlemlendi.
Bunun yerine, fidye notu aracılığıyla dikkatlerini çektikten sonra kurbanlarla bir .onion URL’si aracılığıyla doğrudan müzakerelere girişirler.
Kritik Altyapı Sektörleri Hedefleniyor
Royal fidye yazılımı, özellikle aşağıdakileri içeren çok çeşitli kritik altyapı sektörlerini tehlikeye atmayı amaçlamıştır:-
- Üretme
- İletişim
- Sağlık ve Halk Sağlığı Hizmetleri (HPH)
- Eğitim
Teknik Analiz
Verileri şifrelemenin birincil işlevinin yanı sıra, Royal fidye yazılımının arkasındaki kişiler de çifte gasp taktikleri kullandı.
Royal fidye yazılımı operatörleri, hedef ağlarına ilk erişimi elde etmek için aşağıdakileri içeren birden fazla teknik kullanırken:-
- E-dolandırıcılık
- Uzak Masaüstü Protokolü (RDP)
- Halka açık uygulamalar
- Komisyoncu
Failler, bir hedef ağı başarıyla ihlal ettikten sonra C2 altyapılarıyla iletişim kurar. Ardından, güvenliği ihlal edilmiş sistemlerde saldırı stratejilerini uygulamak için birkaç araç indirirler.
Saldırganlar, geçerli Windows yazılımını hedeflenen ağdaki dayanaklarını güçlendirmek için kendi avantajlarına çevirdi. Güvenlik protokolleri tarafından tespit edilmekten kaçınmak ve kurbanın ağının daha fazla ele geçirilmesini kolaylaştırmak için bu tekniği kullanırlar.
Son gözlemler, Royal fidye yazılımının faillerinin, komuta ve kontrol (C2) altyapılarıyla iletişim aracı olarak Chisel’i kullanmaya başladıklarını göstermiştir.
Royal fidye yazılımı operatörleri, saldırılarında daha önce Qakbot kötü amaçlı yazılımına bağlanan birkaç komut ve kontrol (C2) sunucusu kullandı. Ancak, Royal fidye yazılımının operasyonları için yalnızca Qakbot altyapısına güvenip dayanmadığı henüz belli değil.
Tehdit aktörleri, daha fazla ödün verme adımlarına uygun olarak, aşağıdakiler gibi RDP veya RMM araçlarının yardımıyla ağ boyunca yanal olarak hareket eder: –
- Herhangi Bir Masa
- LogMeIn
- Dışarı
Daha sonra, kurban ağlarından veri sızdırmak için sızma testi ve kötü amaçlı yazılım araçlarını kullanırlar, örneğin:-
Cobalt Strike programı daha sonra verileri bir araya getirmek ve dışarı sızdırmak amacıyla yeniden kullanılır.
2023 Ocak ayı boyunca, Royal fidye yazılımının 19 saldırıyla ilişkilendirildiği ve bu saldırıyı aşağıdakiler gibi diğer fidye yazılımı ailelerinin arkasına yerleştirdiği bildirildi:-
Son raporlar, Royal fidye yazılımının yeteneklerini geliştirdiğini ve artık hem Windows hem de Linux ortamlarını hedefleyebileceğini gösteriyor. Bu, saldırganların saldırılarının kapsamını genişletmek için taktiklerini uyarladığını ve geliştirdiğini gösteriyor.
Bu genişletilmiş yetenek potansiyel olarak saldırganların taviz vermesi için daha geniş bir hedef yelpazesine yol açabilir.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin