Trellix araştırmacıları, müşterilerinden birine yapılan Royal fidye yazılımı saldırısının ayrıntılarını paylaşarak dünyanın en aktif ve tehlikeli fidye yazılımı operasyonlarından biri tarafından kullanılan taktikler, teknikler ve prosedürler (TTP’ler) hakkındaki bilgileri ortaya çıkardı.
Royal fidye yazılımı ilk olarak 2022 yılının Ocak ayında tespit edildi, ancak grup Eylül ayından itibaren faaliyetlerini artırdı. O zamandan beri yaygın ve tehlikeli bir tehdit haline geldi ve ABD makamlarının uyarılarına konu oldu.
Trellix’in en son telemetrisine göre, 2023’te şimdiye kadar Royal tespitlerinin çoğu Türkiye’de görüldü, ancak ABD ve İrlanda da ağır bir şekilde mağdur oldu. Operasyon ayrıca Batı Avrupa, Brezilya, Hindistan, Japonya, Güney Afrika, Tayland, Birleşik Arap Emirlikleri ve Ukrayna’daki kuruluşları da aktif olarak hedefliyor. Birleşik Krallık şu anda daha az hedeflenmiş görünüyor.
Operasyon büyük olasılıkla, Rusya’nın Ukrayna’yı işgaline verdiği destekten rahatsız olan hoşnutsuz üyelerin çetenin verilerini sızdırmasının ardından neredeyse bir yıl önce karşılıklı suçlamalar arasında bölünen Conti kartelinin eski üyelerini içeriyor.
Royal, bu kişileri özümsemesinin bir sonucu olarak kendi teknik yeteneklerini önemli ölçüde artırmayı başardı. Diğer şeylerin yanı sıra, Conti’nin dolaplarıyla bazı benzerlikler içeren kendi dolabını geliştirip dağıtmadan önce BlackCat’ten Zeon’a geçti.
Belki de en dikkate değer ortak nokta, Royal’in bir fidye yazılımı operatörünün her dosyanın belirli bir yüzdesini şifrelemesine izin veren ayrıntılı bir şifreleme yaklaşımı olan “yığın tabanlı” şifrelemesidir. Bu, Royal’in şantaj için daha hızlı ancak daha güvensiz bir yaklaşım veya daha yavaş ancak daha güvenli bir yaklaşım arasında seçim yapabileceği anlamına gelir.
İlk durumda, fidye yazılımı operatörü saldırılarını daha hızlı gerçekleştirebilir ve potansiyel olarak fidye yazılımına karşı koruma ürünlerini tetiklemekten kaçınabilir, ancak doğasında bulunan risk, kurbanın dosyalarını kendilerinin daha kolay kurtarabilmesi veya eksiklerini çözebilmesi ve böylece şantaj talebine direnin.
İkinci senaryoda, kurban, verilerini geri almayı imkansız değilse bile daha zor bulacaktır, ancak dosyaların şifrelenmesi daha uzun sürer ve daha karmaşık süreç, savunma mekanizmalarını tetikleme riski taşır.
Ekip, Conti’ye benzer bir şekilde kendisini yararlı bir hizmet (planlanmamış ve talep edilmemiş olsa da) yürüten profesyonel bir sızma testi operasyonu olarak görüyor.
Trellix tarafından paylaşılan mevcut fidye notunun bir örneği bu tutumu vurgulamaktadır. Şöyle yazıyor: “Royal size benzersiz bir anlaşma sunuyor. Sızma testi hizmetlerimiz için mütevazı bir telif ücreti karşılığında (anladınız; anladınız mı?), sizi yalnızca itibar, yasal, finansal, düzenleyici ve sigorta risklerinden koruyan inanılmaz bir risk azaltma hizmeti sunmakla kalmayacak, aynı zamanda size şunları da sağlayacağız: sistemleriniz için bir güvenlik incelemesi.
“Basitçe söylemek gerekirse, dosyalarınızın şifresi çözülecek, verileriniz geri yüklenecek. [sic] ve gizli tutulur ve sistemleriniz güvende kalır. Royal’i bugün deneyin ve yeni veri güvenliği çağına girin! Yakında sizden haber bekliyoruz!”
Trellix araştırmacıları Alexandre Mundo ve Max Kersten özetlerinde şunları yazdı: “Olay müdahale vakasında vurgulandığı gibi, Kraliyet Fidyesi aktif olarak kullanılıyor.
“Ayrıca, fidye yazılımının şifreleme şeması düzgün uygulanmış gibi görünüyor. Bu nedenle, son yedeklemeler veya bir şifre çözücü, kayıp dosyaları kurtarmanın tek yoludur. Yığın tabanlı şifreleme, dosyaların kurtarılamaz olmasını sağlarken şifreleme sürecini hızlandırır.
“Bu iddia edilen davada Royal Ransom ve Conti gibi fidye yazılımı grupları arasında özelliklerin yeniden kullanılması, işbirliği yapan çeteler veya farklı – veya ek – çetelere katılan çete üyeleri açısından düşündürücüdür.
“Açıkça söylemek gerekirse, bir çetenin fidye yazılımının evrimi, hedeflenen tüm kuruluşları etkileyen diğer fidye yazılımı çetelerini de etkileyecektir. Bu nedenle, değişikliklerden haberdar olmak ve gerektiğinde güvenlik duruşunu iyileştirmek önemlidir.”
Vaka Analizi
Anonim hale getirilen Royal kurbanı, 2022’nin sonlarında sistemlerini şifrelenmiş halde buldu. Çetenin ilk erişiminden dolabın infazına kadar tüm süreç üç günlük bir süre boyunca gelişti.
Bu örnekte Royal, ilk erişimi elde etmek için basit bir kimlik avı e-postası kullandı, yazışmalarını varolan ve önceden zararsız bir ileti dizisinin ele geçirilmesine dayandırdı ve araya girmesini bir HTML dosyası biçimindeki kötü amaçlı bir ekle birleştirdi.
Bir çalışan tarafından açıldığında HTML dosyası, Adobe markasını kullanan bir bildirimin açılır pencerede görüntülenmesini istedi. Bu bildirim, kurbana dosyanın doğru şekilde görüntülenemediğini ve görüntülemek için bir dosya indirmesini söylüyordu. Ayrıca indirme için arşive bir şifre de dahil edildi.
Arşivin kendisi, monte edildiğinde birkaç dosya, bir kısayol (LNK) dosyası, yem içeren gizli bir klasör, bir toplu iş dosyası ve bir Qbot yükü içeren bir ISO görüntüsü içeriyordu – Qbot veya Qakbot, bilgi hırsızına dönüşen bir bankacılık truva atıdır ve sıklıkla en çok gözlemlenen kötü amaçlı yazılım ‘grafiklerinde’ üst sıralarda yer alıyor. Toplu komut dosyası, Qbot’u kurbanın geçici klasörüne kopyaladı ve yükü takılı sürücüden yürüttü.
Buradan, Run kayıt ajansını kullanan Qbot, başlatma sırasında kalıcılık sağladı ve güvenliği ihlal edilmiş makine her başlatıldığında yürütmeyi başardı.
Yaklaşık dört saat sonra, siber suçlular arasında kalıcı bir favori haline gelen red-teaming aracı olan Cobalt Strike ortaya çıktı ve Royal’in geçiş yapmak için hash tekniğini kullanarak tehlikeye attığı bir etki alanı denetleyicisine bir hizmet olarak kuruldu. yanal olarak. Ayrıca, Active Directory (AD) ağını numaralandırmak için AdFind gibi ek araçlar da kullandılar.
Royal, bu aşamadaki ayrıcalıklarını yükseltmek için, Windows 10 Disk Temizleme aracındaki belirli bir yarış koşuluna dayalı bir Kullanıcı Hesabı Denetimi (UAC) atlama tekniği kullandı. ayrıcalıklar.
Royal, bu ayrıcalıkları bir PowerShell komutu çalıştırmak ve Cobalt Strike’ın 11925 numaralı bağlantı noktasındaki hizmeti aracılığıyla PowerSploit kullanım sonrası çerçevesini başlatmak için kullandı. Bu durumda, PowerView modülünü indirdi ve çalıştırdı.
Yerini sağlamlaştıran Royal, yaklaşık 25 gigabayt veri indirmek ve çalmak için MEGA Cloud Drives ile senkronizasyon sağlayan meşru bir araç olan MEGAsync aracını kullanmadan önce bir gün ortalıkta görünmedi. Birkaç saat sonra, fidye yazılımını çalıştırdılar – özellikle kurbanın adına göre uyarlanmış olan ve Royal’in insan tarafından yönetilen doğasını gösteren adıyla dikkate değer.
Mundo ve Kersten’e göre tüm süreç oldukça hızlıydı. Şöyle dediler: “Sonuçta, ilk enfeksiyondan tamamen tehlikeye atılmış bir ortama hızlı dönüş, mavi ekip açısından her şeyin üstünde olmanın neden önemli olduğunu gösteriyor.”
Derinlemesine teknik ayrıntılar, uzlaşma göstergeleri (IoC’ler) ve hem Windows hem de Linux soyunma varyantlarını algılamak için kullanılabilecek yeni bir Yara kuralı dahil olmak üzere Royal’in mevcut operasyonu hakkında daha fazla bilgi Trellix’ten edinilebilir.