Royal Ransomware Group Kendi Kötü Amaçlı Yazılım Yükleyicisini Oluşturuyor


Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı

Crypto-Locker’ları Yüklemek İçin Tasarlanan Kötü Amaçlı Yazılım, Fidye Yazılım Grupları İçin Anahtar Araç Olarak Kalmaya Devam Ediyor

Mathew J. Schwartz (euroinfosec) •
17 Mayıs 2023

Royal Ransomware Group Kendi Kötü Amaçlı Yazılım Yükleyicisini Oluşturuyor
Fotoğraf: Flickr/CC aracılığıyla JD Hancock

Kötü şöhretli Conti grubunun dağılmasıyla ortaya çıkan Rusça konuşan fidye yazılımı grupları, birbirlerinden ilham alıyor ve kendi aralarında yakın işbirliğini sürdürüyor gibi görünüyor.

Ayrıca bakınız: 2022 Unit 42 Fidye Yazılımı Tehdit Raporu

Red baş araştırma sorumlusu Yelisey Bohuslavskiy, özellikle 2022’nin başlarında Conti’den ayrılan Royal fidye yazılımı grubunun, doğrudan Conti sonrası diğer gruplardan alınmış gibi görünen taktik ve teknikler kullanarak indirici kötü amaçlı yazılımını iyileştirdiğini söylüyor. Algı.

İndiriciler, bir uç noktaya bulaşmak ve isteğe bağlı olarak ek kötü amaçlı işlevler yüklemek için tasarlanmıştır. Araştırmacılar, Conti-wielding saldırganlarının, Emotet, IcedID ve QBot dahil olmak üzere birçok farklı türde indiricinin hevesli kullanıcıları olarak kaldığını keşfetti.

Son zamanlarda, Royal kendi yükleyicisini inşa ediyor. Bohuslavskiy, kötü amaçlı yazılımın dikkate değer özelliklerinin küçük boyutu (250 KB’den az) ve Cobalt Strike’ı dağıtmak ve Royal’in baş geliştiricisinin çevrimiçi sohbetlerde iddia ettiği bir Royal komuta ve kontrol sunucusuna anında bağlantı oluşturmak olan tek amacı olduğunu söylüyor. bir tasarım özelliğidir.

Bohuslavskiy, bir LinkedIn gönderisinde, “Önemli olarak, yükleyici bir şifreleme modülü veya işlevi içermiyor, baş kodlayıcının söylediği bir özellik, son kullanıcılara tercih ettikleri kriptolayıcıları dahil etme esnekliği sağlıyor” dedi.

Conti Sonrası Grup

Royal, 2022’nin başlarında Alphv/BlackCat, AvosLocker, Black Basta, HelloKitty, Quantum, Roy/Zeon ve Silent Ransom dahil olmak üzere bir dizi Conti sonrası yan üründen biri olarak ortaya çıktı.

Royal başlangıçta diğer gruplar tarafından oluşturulan fidye yazılımlarını kullandı. Geçen Eylül ayından bu yana, kendi kripto-kilitleme kötü amaçlı yazılım türünü kullanmaya başladı. .royal şifrelenmiş dosya adlarına.

Bohuslavskiy, Royal’in saldırılarının küçük ekipler tarafından gerçekleştirildiğini söyledi – çok “hiyerarşik ve kurumsal” bir şekilde çalışan dört veya beş kişi – genel yapı karmaşık olsa da örgütün aktif katılımcıları “50 ila 60 kişi” olarak sayılıyor. Kuantum grubu haline gelen ve idari bir bölümün yanı sıra ayrı bir teknik bölüm olarak hizmet veren eski Conti Team 2 biçiminde en az iki güç merkezi algılıyor. Her bölümün görev alanı büyük ölçüde örtüşüyor.

Bohuslavskiy, Information Security Media Group’a verdiği demeçte, saldırıların hem Ransom grubu tarafından hem de dolabı “önceden kurulmuş kişisel bağlantılara dayalı olarak – eski Conti, REvil ve eski Hive” – ​​Kraliyet dolabını ödünç alan güvenilir kişilerle paylaşarak gerçekleştirdiğini söyledi. Royal-wielding saldırganlar, Emotet ve IcedId/Anubis gibi diğer birçok hizmetin yanı sıra Conti sonrası yörüngedeki diğer kişilerle de çalışır.

Saldırganlar, spam ve kimlik avı kampanyaları, ilk erişim simsarlarıyla çalışma, bilinen güvenlik açıklarından yararlanma ve güvenliği düşük uzak masaüstü protokol bağlantılarına erişme dahil olmak üzere bir kurbana ilk erişim elde eder.

Grup, sağlık, eğitim ve imalat gibi kritik altyapı sektörleri de dahil olmak üzere çeşitli sektörleri terk etti, FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı Mart ayındaki bir danışma belgesinde uyardı.

Ajanslar, “Kraliyet aktörleri, Cobalt Strike gibi meşru siber sızma testi araçlarını ve Ursnif/Gozi gibi kötü amaçlı yazılım araçlarını ve türevlerini veri toplama ve sızdırma için yeniden kullanarak kurban ağlarından veri sızdırıyor” dedi. “Kurbanların ağlarına erişim sağladıktan sonra, Kraliyet aktörleri virüsten koruma yazılımını devre dışı bırakır ve fidye yazılımını konuşlandırmadan ve sistemleri şifrelemeden önce büyük miktarda veriyi sızdırır.”

İlk fidye talepleri genellikle 1 milyon ila 11 milyon dolar arasında değişiyor ve bitcoin ile ödeniyor.

Sosyal Mühendislik Kampanyası

Mart ayında Red Sense, Royal tarafından hazırlanan bir sosyal mühendislik planı tarafından 1000’den fazla kuruluşun hedef alındığını bildirdi. Araştırmacılar, kampanyanın kuruluşlara Midnight fidye yazılımı grubunun kurbanı olduklarını iddia eden bir e-posta gönderdiğini ve onlara çalınanların bir listesini içeren bir dosya gönderdiğini söyledi.

Gerçekte dosya, Royal kötü amaçlı yazılım yükleyicisinin bir versiyonuydu ve saldırganların kurbanın ağına girmesine izin vererek verileri sızdırmalarına ve sistemleri kripto kilitlemelerine izin vermek için tasarlandı (bkz:: Sahte Veri Hırsızlığı Kanıtı Kraliyet Fidye Yazılımı Salgınına Yol Açıyor).

Royal, işe yaradığı kanıtlanmış stratejilerden büyük ölçüde ödünç alır. Qbot gibi – diğer adıyla Qakbot – Royal’in yükleyicisi, “gizleme olmaksızın yüksek güvenilirliğe sahip bir DLL’den yararlanarak” antivirüsten kaçınmak ve ayrıca ilk erişimi kazandıktan sonra ayrıcalığı artırmak için CVE-2022-41073 olarak izlenen bir Microsoft Windows yazdırma biriktiricisi güvenlik açığından yararlanmak üzere tasarlanmıştır. – Bohuslavskiy, IcedID’nin Conti tarafından daha da silah haline getirilen bir versiyonu olan Anubis’in “anahtar işlevlerini” de dahil ederken, dedi.

Bleeping Computer’ın bildirdiği gibi, güvenilir bir DLL’nin kullanılması, geçen yıl Qbot’un indiricisini içeren kötü amaçlı bir DLL dosyasını yüklemek ve yürütmek için Windows 7 hesap makinesi ve daha sonra Windows 10 Denetim Masası dahil olmak üzere çeşitli ayrıcalık yükseltme kusurlarından yararlandığını hatırlatıyor.

Qbot’un sürekli kullanıcılarından biri, indiriciyi sistemlere bulaştıran ve onu Cobalt Strike ile benzer Brute Ratel aracını yüklemek için kullanan başka bir Conti yan ürünü fidye yazılımı grubu olan Black Basta’dır.

Bohuslavskiy, Black Basta’nın artık tek kullanıcı mı yoksa sahip mi yoksa Qbot mu olduğunun net olmadığını söyledi – suçlu sohbetleri Clop grubunun da onu kullanıyor olabileceğini öne sürüyor – ancak erişimin kısıtlanmış olduğu görülüyor, bu da muhtemelen Royal gibi grupları kendi geliştirmelerine yöneltti. yükleyiciler

Bunun da altını çizdiği gibi, birçok fidye yazılımı grubunun oyun kitaplarında, grupların adları veya araçları değişmeye devam etse bile, yıllardır yasa dışı kazanç sağlayan kanıtlanmış saldırı stratejileri yer alıyor.





Source link