ABD Sağlık ve İnsani Hizmetler Departmanı (HHS), ülkedeki sağlık kuruluşlarını hedef alan devam eden Kraliyet fidye yazılımı saldırıları konusunda uyarıda bulundu.
Ajansın Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3), “Bilinen fidye yazılımı operatörlerinin çoğu Hizmet Olarak Fidye Yazılımı gerçekleştirmiş olsa da, Royal herhangi bir bağlı kuruluşu olmayan özel bir grup gibi görünüyor ve finansal motivasyonu hedefleri olarak koruyor.” söz konusu [PDF].
“Grup, hassas verileri de sızdıracakları çifte gasp saldırıları için veri çaldığını iddia ediyor.”
Kraliyet fidye yazılımı, başına Fortinet FortiGuard Laboratuvarlarıen azından 2022’nin başından beri aktif olduğu söyleniyor. Kötü amaçlı yazılım, C++ ile yazılmış 64 bit Windows yürütülebilir bir dosyadır ve komut satırı aracılığıyla başlatılır; hedeflenen ortam.
Royal, sistemdeki birim gölge kopyalarını silmenin yanı sıra, dosyaları AES standardına göre şifrelemek için OpenSSL şifreleme kitaplığını kullanır ve bunlara bir “.royal” uzantısı ekler.
Geçen ay Microsoft, DEV-0569 adı altında izlediği bir grubun fidye yazılımı ailesini çeşitli yöntemlerle dağıttığını gözlemlediğini açıkladı.
Buna, kötü amaçlı reklamlar, sahte forum sayfaları, blog yorumları veya Microsoft Teams veya Zoom gibi yasal uygulamalar için hileli yükleyici dosyalarına yol açan kimlik avı e-postaları yoluyla kurbanlara gönderilen kötü amaçlı bağlantılar dahildir.
Dosyaların daha sonra Gozi, Vidar, BumbleBee gibi çok çeşitli yükleri teslim etmek için kullanılan BATLOADER adlı bir kötü amaçlı yazılım indirici barındırdığı biliniyor ve bunun yanı sıra sonraki fidye yazılımı dağıtımı için Cobalt Strike’ı dağıtmak üzere Syncro gibi orijinal uzaktan yönetim araçlarını kötüye kullanıyor.
Fidye yazılımı çetesinin, daha bu yıl ortaya çıkmasına rağmen, tehdit ortamının sürekli gelişen doğasının bir göstergesi olarak, diğer operasyonlardan deneyimli aktörlerden oluştuğuna inanılıyor.
HHS, “Başlangıçta, fidye yazılımı operasyonu BlackCat’in şifreleyicisini kullanıyordu, ancak sonunda, Conti’ninkine benzer olduğu belirlenen bir fidye yazılımı notu oluşturan Zeon’u kullanmaya başladı” dedi. “Bu not daha sonra Eylül 2022’de Royal olarak değiştirildi.”
Ajans ayrıca, sağlık hizmetlerine yönelik Royal fidye yazılımı saldırılarının, öncelikle ABD’deki kuruluşlara odaklandığını ve ödeme taleplerinin 250.000 ila 2 milyon ABD Doları arasında değiştiğini belirtti.