FBI ve CISA, ortak bir danışmanlıkta, kraliyet fidye yazılımı çetesinin Eylül 2022'den bu yana dünya çapında en az 350 kuruluşun ağlarını ihlal ettiğini açıkladı.
FBI soruşturmaları sırasında keşfedilen ek bilgilerle Mart ayında yayınlanan orijinal danışmanlık güncellemesinde, iki ajans ayrıca fidye yazılımı operasyonunun fidye taleplerinde 275 milyon dolardan fazla bağlantılı olduğunu belirtti.
"Eylül 2022'den bu yana, Royal dünya çapında bilinen 350'den fazla kurbanı hedef aldı ve fidye yazılımı talepleri 275 milyon USD'yi aştı."
"Royal, şifrelemeden önce veri eksfiltrasyonu ve gasp yürütür ve daha sonra bir fidye ödenmezse mağdur verilerini sızıntı alanına yayınlar. Kimlik avı e -postaları, kraliyet tehdit aktörleri tarafından ilk erişim için en başarılı vektörler arasındadır."
Mart ayında, FBI ve CISA ilk olarak uzlaşma göstergelerini ve savunucuların Kraliyet Ransomware yüklerini ağlarına dağıtma girişimlerini tespit etmesine ve engellemelerine yardımcı olmak için taktik, teknik ve prosedürlerin (TTP'ler) bir listesini paylaştı.
Ortak Danışma, Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) güvenlik ekibinin Aralık 2022'de fidye yazılımı operasyonunun ABD sağlık kuruluşlarına karşı birden fazla saldırının arkasında olduğunu açıkladıktan sonra yayınlandı.
Danışma güncellemesi ayrıca Royal'ın bir yeniden markalaşma girişimi ve/veya bir spinoff varyantı planlayabileceğini, Blacksuit fidye yazılımı Royal ile paylaşılan çeşitli kodlama özellikleri sergileyebileceğini belirtiyor.
BleepingComputer Haziran ayında Royal Ransomware çetesinin, operasyonun olağan şifrelemesiyle birçok benzerliği paylaşan yeni bir Blacksuit şifrelemesini test ettiğini bildirdi.
Kraliyet fidye yazılımı operasyonunun Mayıs ayından bu yana blacksuit fidye yazılımı operasyonunun ortaya çıktığı konusunda yeniden markalaşacağına inanıyor olsa da, bu hiç olmadı. Royal, sınırlı saldırılarda blacksuit kullanan kurumsal kuruluşları aktif olarak hedefliyor.
Blacksuit müstakil bir operasyon olduğundan, Royal, iki şifreli arasında benzerlikler keşfedildikten sonra, bir yeniden marka artık mantıklı olmadığından, belirli kurban türlerine odaklanan bir alt grup başlatmayı planlıyor olabilir.
"Yakında Blacksuit gibi daha fazla şey görebileceğimize inanıyorum. Ama şimdiye kadar hem yeni yükleyici hem de yeni blacksuit dolabının başarısız bir deney olduğu anlaşılıyor."
Royal Ransomware, daha önce meşhur Conti siber suç çetesi ile çalıştığı bilinen yüksek vasıflı tehdit aktörlerinin özel bir operasyonudur.
İlk Ocak 2022'de görülmesine rağmen, kötü niyetli faaliyetleri sadece aynı yılın Eylül ayından bu yana yoğunluğu arttı.
Başlangıçta ALPHV/Blackcat gibi diğer işlemlerden fidye yazılımı şifrelemelerini kullanırken, muhtemelen dikkat çekmekten kaçınacak olsa da, çete o zamandan beri kendi araçlarını dağıtmaya kaydı.
İlk şifreleyicileri Zeon, Conti tarafından üretilenleri anımsatan fidye notlarını düşürürken, Eylül 2022'nin ortalarında yeniden markalaştıktan sonra kraliyet şifrelemesine geçtiler. Daha yakın zamanda, kötü amaçlı yazılımlar, VMware ESXI'yi hedefleyen saldırılarda Linux cihazlarını şifreledi. Sanal makineler.
Halka açık cihazlardaki güvenlik açıklarından yararlanarak hedeflerin ağlarına genellikle sızmasına rağmen, kraliyet operatörleri de geri arama kimlik avı saldırıları ile bilinir.
Bu saldırılar sırasında, hedefler abonelik yenilemeleri olarak akıllıca gizlenmiş e -postalara gömülü telefon numaralarını çevirdiğinde, saldırganlar kurbanları uzaktan erişim yazılımı yüklemeleri için kandırmak için sosyal mühendislik taktiklerinden yararlanır ve hedeflenen ağa erişim sağlar.
Kraliyet operatörlerinin modus operandi, hedeflerinin kurumsal sistemlerini şifrelemeyi ve saldırı başına 250.000 $ ile on milyonlarca değişen önemli fidye talep etmeyi içerir.
FBI, Avoslocker Fidye Yazılımı Teknik Ayrıntıları, Savunma İpuçlarını paylaşıyor
FBI: Ransomware Gangs 3. taraf oyun satıcıları aracılığıyla casinoları hacklemek
CISA, FBI yöneticileri hemen Atlassian Confluence Patch'e çağırıyor
CISA, fidye yazılımı çeteleri tarafından kullanılan güvenlik açıklarını, yanlış konfigürasyonları paylaşıyor
FBI: Avoslocker fidye yazılımı bize kritik altyapı hedefliyor
Kaynak: Bleeping Computer