2023’ün başlarında kraliyet fidye yazılımlarının ani ortaya çıkması, Avrupa’daki hizmet sağlayıcıları hedefleyen siber tehditlerde önemli bir artış gösterdi.
Patched VPN ve Remote-Desktop ağ geçitlerinden yararlanan saldırganlar, çevre savunmalarını ihlal etmek için kaba kuvvet ve kimlik bilgisi belgelendirme kampanyaları başlattı.
İçerdikten sonra, kötü amaçlı yazılım, dosya şifrelemesi için AES-256’yı ve simetrik anahtarları korumak, iletişimi, faturalandırma ve sözleşme veritabanlarını tamamen erişilemeyen özel bir şifreleme motoru kullandı.
Günlük operasyonlar, modern fidye yazılımlarının yıkıcı verimliliğinin altını çizerek saatler içinde durur.
Olaydan sonraki günler içinde, WA.DE analistleri, çalınan alan-admin bilgileri tarafından kolaylaştırılan olağandışı yanal hareketi belirledi ve tehdit aktörlerinin kritik sunucular arasında algılama yapmadan dönmesine izin verdi.
Kısa bir süre sonra, “Royal”, her ağa bağlı yazıcıya bir fidye notu bıraktı: tüm sistemlerin şifrelendiğine ve şifre çözme aracının sadece birkaç düzine bitcoin alındıktan sonra teslim edileceği konusunda kesin bir uyarı.
Kolluk kuvvetleri ve siber güvenlik müdahalecileri ile hızlı bir şekilde katılmaya rağmen, etkilenen şirket uzun süreli kesinti ve sakat operasyonel kayıplarla karşılaştı.
Restorasyon çabaları, 2013 ortasında müzakere edilen bir Bitcoin ödemesine bağlı. Şifreleme anahtarları nihayet alındıktan sonra bile, veri boru hatlarını yeniden inşa eder ve premium yerleşimleri uzlaştırma aylarca manuel müdahale gerektirir.
Şirket, devam eden soruşturmaları sırasında savcılar tarafından kripto varlıklarının ele geçirilmesiyle birleştirilen bir rakam olan yedi figür ortası euro aralığında toplam zararları tahmin etmektedir.
Bugün, iflas işlemleri, bu fonları kurtaramama olarak ortaya çıkıyor, anlamlı bir yeniden yapılandırmayı raydan çıkardı.
Bu genel bakıştan sonra, ağ savunmasının birden fazla katmanında tespitten nasıl kaçındığını anlamak için kraliyet fidye yazılımlarının enfeksiyon mekanizmasını inceliyoruz.
Kraliyet fidye yazılımının enfeksiyon mekanizması
Royal, TLS ile şifreli bir komut ve kontrol kanalı oluşturan hafif GO tabanlı bir yükleyici dağıtarak açık RDP ve VPN uç noktaları tarayarak saldırısını başlatır.
Yükleyici daha sonra, disk tabanlı antivirüs çözümlerini atlayarak, xor-and-rotations aracılığıyla kodlanan konumdan bağımsız bir kabuk kodu enjekte eder.
Bu bellek içi yük, Windows API çağrılarını kullanarak Active Directory kimlik bilgilerini hasat eden ikincil bir modülün şifresini kaldırır LsaRetrievePrivateData Ve NetUserGetInfo.
Yüksek ayrıcalıklar kazandıktan sonra, Windows kurtarma hizmetini devre dışı bırakır (sc stop winre) ve geri dönüşü önlemek için Volume Shadow Kopyala Hizmeti yürütülebilir ürünlerini yeniden adlandırır.
Son olarak, belirli uzantıları paralel iş parçacıklarında eşleştiren tüm mantıksal sürücüleri ve şifreleme dosyalarını numaralandırır:-
for (each file in target_paths) {
AES256_Encrypt(file, session_key);
RSA4096_Encrypt(session_key, public_key);
}Bu taktikleri zincirleyerek Royal, hem hız hem de gizlilik elde eder, sezgisel tabanlı tarayıcılardan kaçar ve infaz üzerine maksimum bozulma sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin