ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), piyasaya sürülmüş geçen yıl tehdit ortamında ortaya çıkan Royal fidye yazılımı hakkında yeni bir tavsiye.
CISA, “Kurbanların ağlarına erişim sağladıktan sonra, Royal aktörler virüsten koruma yazılımını devre dışı bırakır ve fidye yazılımını dağıtmadan ve sistemleri şifrelemeden önce büyük miktarda veriyi sızdırır.” söz konusu.
Gelenek fidye yazılımı programıEylül 2022’den beri ABD’yi ve uluslararası kuruluşları hedef alan , Zeon olarak adlandırılan önceki yinelemelerden evrimleştiğine inanılıyor.
Dahası, siber güvenlik şirketi Trend Micro’nun Aralık 2022’de ifşa ettiğine göre, bu sistemin eskiden Conti Team One’ın bir parçası olan deneyimli tehdit aktörleri tarafından işletildiği söyleniyor.
Fidye yazılımı grubu, fidye yazılımlarını kurbanlara ulaştırmanın bir yolu olarak geri arama kimlik avını kullanıyor; bu teknik, geçen yıl Conti kuruluşunun kapanmasının ardından ayrılan suç grupları tarafından yaygın olarak benimsenen bir teknik.
Diğer ilk erişim modları arasında uzak masaüstü protokolü (RDP), halka açık uygulamalardan yararlanma ve ilk erişim aracıları (IAB’ler) aracılığıyla yer alır.
Royal tarafından yapılan fidye talepleri, iletişim, eğitim, sağlık ve üretim dahil olmak üzere çeşitli kritik sektörleri hedef alan saldırılarla 1 milyon ila 11 milyon dolar arasında değişiyor.
CISA, “Royal fidye yazılımı, tehdit aktörünün şifrelemek için bir dosyadaki belirli bir veri yüzdesini seçmesine izin veren benzersiz bir kısmi şifreleme yaklaşımı kullanır.” “Bu yaklaşım, aktörün daha büyük dosyalar için şifreleme yüzdesini düşürmesine olanak tanır ve bu da tespit edilmekten kaçınmaya yardımcı olur.”
Siber güvenlik ajansı, Royal fidye yazılımı izinsiz girişlerinde Qakbot ile ilişkili çoklu komut ve kontrol (C2) sunucularının kullanıldığını söyledi, ancak şu anda kötü amaçlı yazılımın yalnızca Qakbot altyapısına dayanıp dayanmadığı henüz belirlenmedi.
İzinsiz girişler ayrıca yanal hareket için Cobalt Strike ve PsExec’in kullanılması ve sistem kurtarmayı önlemek için gölge kopyaların silinmesi ile karakterize edilir. Cobalt Strike ayrıca veri toplama ve sızdırma için yeniden tasarlandı.
Şubat 2023 itibariyle, Royal fidye yazılımı yetenekli hem Windows hem de Linux ortamlarını hedefleme. Olmuştur bağlantılı yalnızca Ocak 2023’te 19 saldırıya ulaşarak LockBit, ALPHV ve Vice Society’yi geride bıraktı.
