Royal adlı bir fidye yazılımı operasyonu hızla artıyor ve 250.000$ ile 2 milyon$ arasında değişen fidye talepleri olan şirketleri hedef alıyor.
Royal, Ocak 2022’de başlatılan ve önceki operasyonlardan bir grup incelenmiş ve deneyimli fidye yazılımı aktöründen oluşan bir operasyondur.
Çoğu aktif fidye yazılımı operasyonunun aksine, Royal bir Hizmet Olarak Fidye Yazılımı olarak çalışmaz, bunun yerine bağlı kuruluşları olmayan özel bir gruptur.
CEO’su Vitali Kremez AdvIntelBleepingComputer’a ilk başladığında BlackCat gibi diğer fidye yazılımı işleminin şifreleyicilerini kullandıklarını söyledi.
Kısa bir süre sonra, siber suç girişimi başladı kendi şifreleyicilerini kullanarakbirincisi Zeon [Sample]bu da Conti’ninkine çok benzeyen fidye notları üretti.
Ancak, Eylül 2022’nin ortasından bu yana, fidye yazılımı çetesi yeniden ‘Royal’ olarak yeniden markalaştı ve bu adı yeni bir şifreleyici tarafından oluşturulan fidye notlarında kullanıyor.
Royal kurbanlarını nasıl ihlal ediyor?
Kraliyet operasyonu, bir veri sızıntısı sitesi kullanmayarak ve saldırılarının haberlerini sessiz tutarak gölgede çalışıyor.
Ancak çete bu ay daha aktif hale geldikçe kurbanlar da ortaya çıktı. BleepingComputer’dave bir örnek yüklendi VirüsToplam.
Kremez ve bir kurbanla yaptığı görüşmelerde BleepingComputer, çetenin nasıl çalıştığına dair daha iyi bir resim oluşturdu.
Kremez’e göre, Kraliyet grubu hedeflenen geri arama kimlik avı saldırıları abonelik yenilemeleri gibi davranan e-postalarda yemek dağıtımını ve yazılım sağlayıcılarını taklit ettikleri yer.
Bu kimlik avı e-postaları, mağdurun iddia edilen aboneliği iptal etmek için iletişim kurabileceği telefon numaralarını içerir, ancak gerçekte bu, tehdit aktörleri tarafından kiralanan bir hizmetin numarasıdır.
Bir kurban bu numarayı aradığında, tehdit aktörleri, kurbanı şirket ağına ilk erişim sağlamak için kullanılan uzaktan erişim yazılımını kurmaya ikna etmek için sosyal mühendislik kullanır.
BleepingComputer ile konuşan bir Kraliyet kurbanı, tehdit aktörlerinin özel web uygulamalarındaki bir güvenlik açığını kullanarak ağlarını ihlal ettiğini ve tehdit aktörlerinin bir ağa nasıl erişecekleri konusunda yaratıcı olduklarını gösterdi.
Bir ağa eriştiklerinde, insan tarafından işletilen diğer fidye yazılımı operasyonları tarafından yaygın olarak kullanılan aynı faaliyetleri gerçekleştirirler. Kalıcılık için Cobalt Strike’ı dağıtırlar, kimlik bilgilerini toplarlar, Windows etki alanına yanlamasına yayılırlar, verileri çalarlar ve nihayetinde cihazları şifrelerler.
Dosyaları şifrelerken, Kraliyet şifreleyici .Kraliyet şifrelenmiş dosyaların dosya adlarının uzantısı. Örneğin, test.jpg şifrelenir ve aşağıda gösterildiği gibi test.jpg.royal olarak yeniden adlandırılır.
Bir Kraliyet kurbanı ayrıca BleepingComputer’a sanal disk dosyalarını (VMDK) doğrudan şifreleyerek sanal makineleri hedeflediklerini söyledi. Tehdit aktörleri daha sonra fidye notlarını ağ yazıcılarında yazdırır veya şifreli Windows cihazlarında oluşturur.
Bu fidye notlarının adı BENİOKU.TXT ve royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion adresinde kurbanın özel Tor müzakere sayfasına bir bağlantı içerir. Aşağıdaki fidye notunda bulunan XXX, düzeltildi ancak kurbana özel.
Tor müzakere sitesi özel bir şey değil, sadece kurbanın Royal fidye yazılımı operatörleriyle iletişim kurabileceği bir sohbet ekranı içeriyor.
Bu müzakerelerin bir parçası olarak, fidye yazılımı çetesi, 250.000 ila 2 milyon doların üzerinde fidye talepleri ile fidye talebini sağlayacak.
Fidye yazılımı çetesi, kurbanların şifre çözücünün çalıştığını kanıtlamaları ve çalınan verilerin dosya listelerini paylaşmaları için genellikle birkaç dosyanın şifresini çözer.
BleepingComputer, başarılı ödemelerden habersizdir ve bu fidye yazılımı ailesi için bir şifre çözücü görmemiştir.
Grup, çifte gasp saldırıları için veri çaldığını iddia etse de, Royal markası altında henüz bir veri sızıntısı sitesi başlatılmış gibi görünmüyor.
Bununla birlikte, ağ, pencereler ve güvenlik yöneticilerinin, operasyonlarını hızla hızlandırdıkları ve büyük olasılıkla kurumsal hedefli fidye yazılımı operasyonlarının en önemlilerinden biri haline geleceği için bu gruba dikkat etmeleri şiddetle tavsiye edilir.
Güncelleme 8/29/22: Makale, lansman tarihi ve geri arama kimlik avı örneği de dahil olmak üzere bazı düzeltmelerle güncellendi.