FBI ve CISA, ortak bir danışma belgesinde, Royal fidye yazılımı çetesinin Eylül 2022’den bu yana dünya çapında en az 350 kuruluşun ağlarını ihlal ettiğini ortaya çıkardı.
FBI soruşturmaları sırasında keşfedilen ek bilgilerle birlikte Mart ayında yayınlanan orijinal tavsiye niteliğindeki güncellemede iki kurum, fidye yazılımı operasyonunun 275 milyon dolardan fazla fidye talebiyle bağlantılı olduğunu da kaydetti.
Bilgi notunda, “Eylül 2022’den bu yana Royal, dünya çapında 350’den fazla bilinen kurbanı hedef aldı ve fidye yazılımı talepleri 275 milyon doları aştı” deniyor.
“Royal, şifrelemeden önce veri sızdırma ve şantaj gerçekleştiriyor ve fidye ödenmediği takdirde mağdurun verilerini bir sızıntı sitesinde yayınlıyor. Kimlik avı e-postaları, Royal tehdit aktörlerinin ilk erişimi için en başarılı vektörler arasında yer alıyor.”
Mart ayında FBI ve CISA, savunmacıların ağlarına Royal fidye yazılımı yüklerini dağıtma girişimlerini tespit etmelerine ve engellemelerine yardımcı olmak için ilk kez güvenlik ihlali göstergelerini ve taktik, teknik ve prosedürlerin (TTP’ler) bir listesini paylaştı.
Ortak tavsiye, Sağlık ve İnsani Hizmetler Bakanlığı (HHS) güvenlik ekibinin Aralık 2022’de ABD sağlık kuruluşlarına yönelik çok sayıda saldırının arkasında fidye yazılımı operasyonunun olduğunu ortaya çıkarmasından sonra yayınlandı.
Royal’den BlackSuit’e mi?
Tavsiye niteliğindeki güncelleme ayrıca Royal’in, Royal ile paylaşılan çeşitli kodlama özelliklerini sergileyen BlackSuit fidye yazılımıyla birlikte bir yeniden markalama girişimi ve/veya bir yan ürün çeşidi planlayabileceğini de belirtiyor.
BleepingComputer, Haziran ayında Royal fidye yazılımı çetesinin, operasyonun olağan şifreleyicisiyle birçok benzerliği paylaşan yeni bir BlackSuit şifreleyicisini test ettiğini bildirdi.
BlackSuit fidye yazılımı operasyonunun Mayıs ayında ortaya çıkmasından bu yana Royal fidye yazılımı operasyonunun yeniden markalaşacağına inanılıyordu ancak bu hiçbir zaman gerçekleşmedi. Royal, sınırlı saldırılarda hâlâ BlackSuit kullanan kurumsal kuruluşları aktif olarak hedef alıyor.
BlackSuit kendi kendine yeten bir operasyon olduğundan, Royal, belirli kurban türlerine odaklanan bir alt grup başlatmayı planlıyor olabilir, çünkü iki şifreleyici arasında benzerlikler keşfedildikten sonra yeniden markalamanın artık bir anlamı kalmayacaktır.
RedSense Ortağı ve Ar-Ge Başkanı Yelisey Bohuslavskiy, BleepingComputer’a “Yakında siyah elbise gibi daha fazla şey görebileceğimize inanıyorum. Ancak şu ana kadar hem yeni yükleyici hem de yeni Siyah elbise dolabı başarısız bir deney gibi görünüyor” dedi.
Conti siber suç çetesi bağlantıları
Royal Ransomware, daha önce kötü şöhretli Conti siber suç çetesiyle çalıştığı bilinen yüksek vasıflı tehdit aktörlerinden oluşan özel bir operasyondur.
İlk kez Ocak 2022’de fark edilmelerine rağmen, kötü niyetli faaliyetlerinin yoğunluğu aynı yılın Eylül ayından bu yana arttı.
Başlangıçta dikkat çekmekten kaçınmak için ALPHV/BlackCat gibi diğer operasyonlara ait fidye yazılımı şifreleyicilerini kullanan ekip, daha sonra kendi araçlarını kullanmaya başladı.
İlk şifreleyicileri Zeon, Conti tarafından oluşturulanları anımsatan fidye notları bırakırken, Eylül 2022’nin ortasında yeniden markalama geçirdikten sonra Royal şifreleyiciye geçtiler. Daha yakın zamanda, kötü amaçlı yazılım, VMware ESXi’yi hedef alan saldırılarda Linux cihazlarını şifreleyecek şekilde yükseltildi. Sanal makineler.
Her ne kadar genel olarak erişilebilen cihazlardaki güvenlik açıklarından yararlanarak hedef ağlara sızsalar da, Royal operatörleri aynı zamanda geri arama kimlik avı saldırılarıyla da tanınıyor.
Bu saldırılar sırasında, hedefler akıllıca bir şekilde abonelik yenilemesi olarak gizlenen e-postalara yerleştirilmiş telefon numaralarını çevirdiğinde, saldırganlar kurbanları uzaktan erişim yazılımı yüklemeleri için kandırmak ve hedeflenen ağa erişmelerini sağlamak için sosyal mühendislik taktiklerinden yararlanır.
Kraliyet operatörlerinin işleyiş tarzı, hedeflerinin kurumsal sistemlerini şifrelemeyi ve saldırı başına 250.000 dolardan on milyonlara kadar önemli miktarda fidye talep etmeyi içeriyor.