Hindistan siber güvenlik kurumu, iletişim, sağlık, eğitim ve hatta bireyler gibi kritik sektörlere saldıran ve kişisel verileri kamuya açık alana sızdırmadığı için Bitcoin ile ödeme peşinde koşan “Kraliyet fidye yazılımı” virüsüne karşı bir uyarı yayınladı.
Hindistan Bilgisayar Acil Durum Müdahale Ekibi veya CERT-In, en son danışma belgesinde, İnternet’e yayılan bu fidye yazılımının kimlik avı e-postaları, kötü amaçlı indirmeler, RDP’yi (uzak masaüstü protokolü) kötüye kullanma ve diğer sosyal mühendislik biçimleri yoluyla gizlice girdiğini belirtti. Siber uzmanlar PTI’ye bu fidye yazılımının ilk olarak Ocak 2022’de tespit edildiğini ve ABD makamlarının yayılmasına karşı tavsiyeler yayınlamasına rağmen geçen yıl Eylül ayı civarında aktif hale geldiğini söyledi.
“Royal fidye yazılımı, üretim, iletişim, sağlık, eğitim vb. dahil olmak üzere çok sayıda önemli altyapı sektörünü veya bireyleri hedefliyor. Fidye yazılımı kurbanın sistemindeki dosyaları şifreliyor ve saldırganlar Bitcoin ile fidye ödemesi istiyor” dedi.
Danışma belgesi, “Saldırganlar ayrıca, ödeme reddedilirse verileri kamuya sızdırmakla tehdit ediyor” dedi.
CERT-In, siber saldırılarla mücadele eden ve siber alanı kimlik avı, bilgisayar korsanlığı saldırıları ve benzeri çevrimiçi saldırılara karşı koruyan federal teknoloji koludur.
Danışma belgesi, “tehdit aktörlerinin, kurbanları yanıltarak çeşitli hizmet sağlayıcılar gibi davrandıkları geri arama kimlik avının bir parçası olarak uzaktan erişim yazılımını yüklemeleri için birçok taktik izlediğini” söyledi. Fidye yazılımı, “içeriğin boyutuna bağlı olarak dosyaları şifrelemek için belirli bir yaklaşım kullanarak” bulaşıyor. “İçeriği şifreli ve şifresiz olmak üzere iki bölüme ayıracak. Kötü amaçlı yazılım, dikkat veya tespitten kaçınma şansını artırmak için şifrelemek üzere büyük bir dosyadan küçük miktarda veri seçebilir. Sonuna 532 bayt ekler. CERT-In, rastgele oluşturulmuş şifreli anahtarı, şifrelenmiş dosyanın dosya boyutunu ve şifreleme yüzdeleri parametresini yazmak için şifreli dosya” dedi.
Bu virüsün öldürücülüğü, fidye yazılımının saldırdığı verileri şifrelemeye başlamadan önce hedeflenen dosyaların durumunu kontrol etmesi ve hizmet yoluyla “kurtarmayı önlemek” için gölge kopyaları silmesi gerçeğinden ölçülebilir. Kötü amaçlı yazılım, ağa izinsiz girdikten sonra ağda kalıcı ve yanal hareketler yapmaya çalışır. Etki alanı denetleyicisine eriştikten sonra bile fidye yazılımı, virüsten koruma protokollerini devre dışı bırakır. Ayrıca, fidye yazılımı şifrelemeden önce büyük miktarda veriyi dışarı sızdırıyor, dedi danışma belgesi.
‘Royal fidye yazılımının’ diğer fidye yazılımları gibi fidye miktarı, herhangi bir talimat vb. bilgileri bir notta paylaşmadığı, bunun yerine bir .onion URL yolu (dark web) aracılığıyla kurbanla doğrudan bağlantı kurduğu gözlemlendi. tarayıcı).
Ajans, bu fidye yazılımı saldırısına ve benzerlerine karşı korunmak için bazı karşı önlemler ve İnternet hijyen protokolleri önerdi.
Verilerin çevrimdışı yedeklenmesini sağlayın ve düzenli olarak yedekleme ve geri yüklemeyi sürdürün, çünkü bu uygulama kuruluşun ciddi bir şekilde kesintiye uğramamasını ve geri alınamaz verilere sahip olmamasını sağlayacaktır.
Ayrıca, tüm kuruluşun veri altyapısını kapsayan tüm yedekleme verilerinin şifreli, değişmez (yani değiştirilemez veya silinemez) olması tavsiye edilir.
Kullanıcılar, kritik dosyalarda yetkisiz değişiklikleri önlemek için Windows İşletim Sisteminde korumalı dosyaları etkinleştirmeli ve uzak masaüstü bağlantılarını devre dışı bırakmalı, en az ayrıcalıklı hesapları kullanmalı ve uzak masaüstü bölümlerini kullanarak oturum açabilen kullanıcıların bir hesap kilitleme ilkesi belirlemesini sınırlamalıdır. Ajans tarafından, bilgisayar sistemlerinde güncellenmiş bir anti-virüs bulundurmak ve bilinmeyen bağlantılardan gelen istenmeyen e-postalara tıklamamak gibi temel uygulamalar da dahil olmak üzere bir dizi başka en iyi uygulama önerilmiştir.