Günümüzün en hızlı büyüyen fidye yazılımı çetelerinden biri olan Royal olarak bilinen siber suç grubuna hızlı bir bakış.
Kasım 2022 incelememizde Royal fidye yazılımı çetesini ilk kez tanıttığımızda, devam eden aylık tehdit istihbaratı brifinglerimizde hızla en güçlü tehditlerden birine dönüşeceklerini bilmiyorduk.
Aslında Malwarebytes Tehdit İstihbaratı ekibi, Kasım 2022’den Haziran 2023’e kadar Royal’e atfedilen 195 şaşırtıcı fidye yazılımı olayının izini sürdü.
Mayıs 2023’e kadar bilinen Kraliyet saldırıları
Bu rakamlar, Royal’i o zaman dilimi için ALPHV’nin (233 olayla) ve amansız LockBit’in (542 olayla) ardından zorlu bir üçüncü sıraya yerleştirdi.
Bu yazının geri kalanında, Kraliyet fidye yazılımı çetesi hakkında bilinmesi gereken beş temel gerçeğe biraz ışık tutacağız.
1. İlk erişimlerinin %66’sı kimlik avı yoluyla yapılıyor
Görünüşe göre hayatta kesin olan üç şey var: ölüm, vergiler ve güvenilir bir saldırı vektörü olarak kimlik avı.
Royal, ekli kötü PDF’ler içeren kimlik avı e-postaları göndermeyi sever. Ayrıca, kurbanları uzak masaüstü kötü amaçlı yazılım yüklemeye ikna etmek için geri arama kimlik avı saldırıları kullandıkları tespit edildi.
Birisi Royal’in kimlik avı dolandırıcılığına kanıp bilgisayarına kötü amaçlı yazılım bulaştırdığında, bu kötü amaçlı yazılım kendi komuta ve kontrol (C2) tabanına ulaşmaya çalışır. Ardından, yanal harekete veya sızmaya yardımcı olmak için kötü amaçlı araçları indirmeye başlar.
2. Büyük bir ABD yanlılığına sahipler
Malwarebytes Tehdit İstihbarat ekibi, Royal kurbanlarının %64’ünün ABD’den olduğunu tespit etti.
Ülkeye göre Mayıs 2023’e kadar bilinen Kraliyet saldırıları
Karşılaştırma için, bilinen tüm fidye yazılımı saldırılarının %43’ü Kasım 2022 ile Haziran 2023 arasındaki aynı dönemde ABD’de gerçekleşti. 50’den fazla saldırıya sahip çeteler için Royal, ABD’ye saldıranlar arasında Black Basta’nın (%67) ardından yalnızca ikinci sıradaydı.
3. Cobalt Strike, kötü amaçlı faaliyetler için yeniden kullandıkları birçok yasal araçtan biridir.
Royal, saldırılarını radar altında gerçekleştirmek için bir dizi meşru araç kullanırken tespit edildi. Bu araçlardan sadece bazıları şunlardır:
Normal davranışı taklit eden bu araçlar, BT ekiplerinin ve güvenlik çözümlerinin herhangi bir kötü amaçlı etkinlik belirtisini algılamasını son derece zorlaştırabilir.
4. Kurbanları yeniden enfekte ettiklerini gözlemledik
Royal’in 2022’nin sonlarında öne çıkmasından kısa bir süre sonra, Malwarebytes Yönetilen Tespit ve Müdahale (MDR) hizmetine yeni bir müşteri katıldı. Müşteri daha önce bir Royal fidye yazılımı saldırısının kurbanıydı ve kendilerini tamamen temizlediklerini düşündü.
Ancak bizimle bağlantı kurduktan kısa bir süre sonra, bazı şüpheli faaliyetler tespit ettik.
Malwarebytes MDR, istemcinin ağında “Ransomware.Royal” tespit ediyor.
Görünüşe göre Royal, müşterimize bir kez “yalnızca” saldırmaktan memnun değildi; hâlâ sistemlerinde dalga geçiyor ve potansiyel olarak başka bir yıkıcı saldırı için zemin hazırlıyorlardı.
Neyse ki, EDR teknolojimiz fidye yazılımını durdurdu ve MDR ekibimiz fidye yazılımı sonrası yıkımın daha da artmasını engellemeyi başardı.
Yine de, Royal saldırılarının başarılı bir saldırıdan sonra devam etmediğini gösteriyor; yardım edebilirlerse, gelecekteki sömürü için meşgul kalırlar.
5. Hizmetler, Toptan Satış ve Teknoloji endüstrileri en büyük kurbanlarıdır.
Royal fidye yazılımının mağduriyetine baktığımızda, Vice Society’de olduğu gibi ezici bir model göze çarpmıyor.
Endüstri sektörüne göre Mayıs 2023’e kadar bilinen Kraliyet saldırıları
Sektör başına kurbanları, tüm fidye yazılımı çetelerinin ortalamalarıyla aşağı yukarı eşleşiyor; bu da, belirli bir sektöre odaklanmadan tamamen fırsatçılar olduklarını gösteriyor.
Herhangi bir fidye yazılımı çetesi gibi, sektörler arasındaki olası güvenlik açıklarından ve güvenlik açıklarından yararlanarak, en kolay giriş noktasını buldukları her yerden saldırılarını başlatırlar.
Kraliyet çetesine karşı üstünlük sağlamak
Royal kısa sürede adından söz ettirdi.
Royal, kolay bir hedef olduğunu düşündükleri herkese saldıracak gibi görünse de, ABD’deki kuruluşların, o ülkeye güçlü bir şekilde odaklandıkları düşünüldüğünde, Royal’e karşı özellikle dikkatli olmaları gerektiğini söylemek güvenlidir.
Tüm sektörlerdeki kuruluşların fidye yazılımı saldırılarını her açıdan önlemek (ve kurtarmak) için birkaç en iyi uygulamayı izlemesini öneriyoruz. Bu şunları içerir:
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde yamalamak için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; fidye yazılımı dağıtmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri algıla. Ağları bölümlere ayırarak ve ihtiyatlı bir şekilde erişim hakları atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı gerçekleşmeden önce olağandışı etkinliği algılamak için EDR veya MDR’yi kullanın.
- Tesis dışı, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri, saldırganların erişemeyeceği bir yerde, tesis dışında ve çevrimdışı tutun. Temel iş işlevlerini hızlı bir şekilde geri yükleyebildiğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğrama. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların tüm izlerini, kötü amaçlı yazılımlarını, araçlarını ve giriş yöntemlerini kaldırmalısınız.
Malwarebytes’in EDR fidye yazılımı önleme katmanı, uç nokta sistemlerini sürekli olarak izler ve Royal fidye yazılımı da dahil olmak üzere fidye yazılımı etkinliğiyle ilişkili işlemleri otomatik olarak öldürür.
Malwarebytes EDR, Royal fidye yazılımı Yürütme Sırasında engelliyor
Fidye Yazılımı Acil Durum Kitimizde, kuruluşunuzun RaaS çetelerine karşı savunmak için ihtiyaç duyduğu daha fazla ipucu bulacaksınız.
Acil durum kitini alın