Conti çetesinin eski üyelerinden oluşan Royal fidye yazılımı grubu, geçen yaz ortaya çıkmasından bu yana operasyonlarını hızlandırdı ve özellikle kritik altyapı ve sağlık hedeflerine yönelik saldırılar düzenledi. Son zamanlarda, cephaneliğini Linux ve VMware ESXi ortamlarını hedef alacak şekilde genişletti.
Bu, Palo Alto Networks’ün Unit 42 bölümüne göre, 9 Mayıs’ta yayınlanan bir analizde grubun kısa süre önce çalıştırılabilir ve bağlanabilir format (ELF) ikili biçiminde oluşturulmuş şifreleyici kötü amaçlı yazılımının bir varyantını başlattığını belirtti.
“[It] Windows varyantına oldukça benzer ve örnek herhangi bir şaşırtmaca içermiyor” diye açıkladı araştırmacılar gönderide. “RSA genel anahtarı ve fidye notu da dahil olmak üzere tüm diziler düz metin olarak saklanıyor.”
Linux, birçok ağın arka uç sistemlerini ve Nesnelerin İnterneti cihazları ve görev açısından kritik uygulamalar için konteyner tabanlı çözümleri çalıştırır ve bu nedenle, kritik operasyonları bozmakla ilgilenen tehdit aktörleri için mükemmel bir saldırı yüzeyi oluşturur.
Bu arada VMware’in ESXi platformu, yalnızca geçen yıl sanallaştırma platformunu hedefleyen çok sayıda fidye yazılımı kampanyasıyla fidye yazılımı saldırganları için giderek daha çekici bir hedef haline geldi. Paranın karşılığını fazlasıyla almanın ek bir avantajı da var: Bir ESXi hipervizörden taviz verilmesi, herhangi bir ek çalışma gerektirmeden kontrol ettiği tüm sanal makinelere (VM’ler) kapı açabilir.
Unit 42 araştırmacıları, “Birçok fidye yazılımı ailesinin ESXi/Linux odaklı bir varyantı olduğu düşünüldüğünde, bu alışılmadık bir durum değil” dedi. “Bu grubun diğerlerini etkilemek için cephaneliğini genişletmesi mantıklı.
ortamlar.”
Kraliyet Fidye Yazılımı: Conti Tacının Varisi
Diğer araştırmacılar daha önce, Royal’in büyük olasılıkla Conti fidye yazılımı grubunun eski üyelerinden – özellikle Unit 42’ye göre “Team One” olarak bilinen eski üyelerden oluştuğunu belirlediler.
Ryuk fidye yazılımından sorumlu olan Conti, geçen Mayıs ayında, çetenin geliştiricilerinin yönetici panellerini, sunucuları, proxy sunucularını, sohbet odalarını ve bir müzakere hizmet sitesini kapatmaya başlamasıyla ünlü bir şekilde dağıldı – muhtemelen kolluk kuvvetleri ve medyanın ilgisine yanıt olarak. O zamanlar araştırmacılar, üyelerin yeni kılıklar altında yeniden bir araya gelmesinin muhtemel olduğunu belirtti – ve görünen o ki tam olarak buydu.
Unit 42 araştırmacılarına göre, “Bu tehdidin arkasındaki bazı kişiler, Conti’nin selefi olan Ryuk’un geliştirilmesinin bir parçası olduğu için, uzun yıllara dayanan deneyime sahipler.” “Bu, saldırıları gerçekleştirmek için sağlam bir temele sahip oldukları ve kurbanları şantaj yaparken neyin işe yaradığını bildikleri anlamına geliyor.”
Birim 42 olay müdahale ekipleri, son dokuz ayda Royal fidye yazılımını içeren 15 vakaya katıldı (25 milyon dolara kadar Bitcoin talebiyle). Ancak Unit 42’nin 2022’de 14 ve 2023’te 26 üretim kuruluşunu vurduğu Royal’in boğuşması bundan bile daha geniş ve kapsamlı oldu. Analize göre eğitim sektöründeki 14 kuruluşu ve sekiz kuruluşu da etkiledi. çete başladığından beri sağlık kuruluşları, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın Ocak ayında grup hakkında bir uyarı yayınlamasına neden oldu.
Son olarak grup, geçen hafta Dallas Şehri’ne düzenlenen ve Dallas Polis Departmanı web sitesi de dahil olmak üzere hükümet sistemlerini hizmet dışı bırakan bir saldırının sorumluluğunu üstlendi.
Unit 42’ye göre Royal’den etkilenen kuruluşların çoğu ABD ve Kanada’da bulunuyor ve saldırıların %73’ünü oluşturuyor.
Royal, BatLoader ile Kalkış Yapıyor
Unit 42 araştırmacıları, siber suç çetesinin taktik, teknik ve prosedürlerinde (TTP’ler) yakın zamanda yapılan bir başka değişikliğin BatLoader birinci aşama kötü amaçlı yazılım düşürücünün kullanılması olduğunu söyledi.
Gönderiye göre, “Unit 42 ekibi, bu grubun, tehdit aktörlerinin genellikle arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla yaydığı bir BatLoader enfeksiyonu yoluyla kurbanlarını tehlikeye attığını gözlemledi.” “Bu enfeksiyon, fidye yazılımı yürütmesinin habercisi olarak bir Cobalt Strike işaretini düşürmeyi içerir.”
Royal, Conti’nin yaptığı gibi bir hizmet olarak fidye yazılımı (RaaS) modelini kullanma eğilimine karşı çıkmasıyla dikkat çekiyor – yani, kar payı karşılığında saldırıları gerçekleştirmek için bağlı kuruluşlarla ortaklık yapmak yerine, Royal özel bir grup olarak faaliyet gösteriyor , kendi kirli işini yapıyor.
Bununla birlikte, BatLoader’ın kullanılması, Royal’in hedeflenen kuruluşlarda ilk erişimi sağlamak için ortaklıklar kurduğunu gösterebilir.
BatLoader ve SEO zehirlenmesi (kötü amaçlı reklam olarak da bilinir) kullanan aynı bulaşma rutini daha önce Kasım ayında görülmüştü – ancak bu durumda, damlalığın yalnızca fidye yazılımı değil, bir dizi son aşama kötü amaçlı yazılımı dağıtmak için kullanıldığı görüldü ve bu, operatörlerinin şunları önerebileceğini düşündürüyor: aracı çeşitli tehdit aktörlerine.
Bir Kraliyet Ağrısına Karşı Nasıl Savunma Yapılır?
Unit 42 gönderisine göre, “Royal fidye yazılımı, çok çeşitli araçlar kullanarak ve kritik altyapı kuruluşlarını daha agresif bir şekilde hedef alarak bu yıl daha aktif oldu.” “Kuruluşlar en iyi güvenlik uygulamalarını uygulamalı ve devam eden fidye yazılımı tehdidine karşı dikkatli olmalıdır.”
Unit 42 ekibi, kendilerini savunmak için kuruluşların Sysmon, Windows komut satırı günlüğü ve PowerShell günlüğü gibi araçlar da dahil olmak üzere gelişmiş günlük kaydı yetenekleri kullanmasını önerir.
Araştırmacılar, “İdeal olarak, sorgular ve algılama fırsatları oluşturmak için bu günlükleri bir güvenlik bilgileri ve olay yönetimi aracına (SIEM) iletmelisiniz” dedi. “Sömürü teknikleriyle ilgili saldırı yüzeyini azaltmak için mümkün olan her yerde bilgisayar sistemlerini yamalanmış ve güncel tutun. Bellek içi inceleme gerçekleştirmek ve işlem enjeksiyon tekniklerini algılamak için genişletilmiş/uç nokta algılama ve yanıt (XDR/EDR) çözümü dağıtın.”