Kraliyet Fidye Talepleri 275 Milyon Doları Aştı, Offing'de Marka Yeniden Markalandı - Dünyadan Güncel Teknoloji Haberleri

Kraliyet Fidye Talepleri 275 Milyon Doları Aştı, Offing'de Marka Yeniden Markalandı - Dünyadan Güncel Teknoloji Haberleri

Royal Fidye Yazılımı Operasyonlarına İlişkin Yeni Bilgiler

Genel olarak, Royal’e ilişkin son federal rehber, kurumların Mart ayındaki tavsiyelerine yönelik bir güncellemedir ” dedi

Royal’e ilişkin son istihbarat, grubun orijinal kısmi şifreleme ve çifte gasp taktiklerini kullanmaya devam ettiğini ortaya koyuyor

Ajanslar, “Açık kaynak raporlarına göre, kurbanlar, kötü amaçlı PDF belgeleri ve kötü amaçlı reklam içeren kimlik avı e-postaları aldıktan sonra bilmeden Royal fidye yazılımı sağlayan kötü amaçlı yazılım yüklediler

Royal veya diğer fidye yazılımı gruplarının tuzağına düşmekten kaçınmak için FBI ve CISA, kuruluşların, saldırganların ağlarındaki mevcut kusurlardan yararlanmalarını zorlaştırmak amacıyla, istismar edilen bilinen güvenlik açıklarını düzeltmeye öncelik vermelerini tavsiye ediyor

Kısmi Şifrelemenin Evrimi

Royal’in kuruluşundan bu yana kullandığı benzersiz kısmi şifreleme yaklaşımı, kendi özel yapım dosya şifreleme programını kullanan fidye yazılımının en son versiyonuyla operasyonlarının önemli bir yönü olmaya devam ediyor

Ortak danışma Salı günü FBI ve CISA tarafından yapılan bir açıklamada, bağlı kuruluşlar olmaksızın faaliyet gösteren ve kurbanlardan elde ettiği verileri acımasızca yayınlayan fidye yazılımı grubunun hızla gelişmeye devam ettiği belirtildi

Pek çok araştırmacının artık feshedilmiş Conti Group’un küllerinden ortaya çıktığına inandığı Royal, yıl ortasında ortaya çıkan ve başlangıcından itibaren benzersiz bir gelişmişlik sergileyen bir başka fidye yazılımı olan Blacksuit olarak yeniden markalaşmaya hazır olabilir Royal ayrıca bir ağ üzerinde yanal olarak hareket etmek için sıklıkla RDP’yi kullanıyor ve kalıcılık için AnyDesk, LogMeIn ve Atera gibi uzaktan izleme ve yönetim (RMM) yazılımlarından yararlanıyor

Royal, kuruluşundan bu yana, muhtemelen Conti ile daha önceki ilişkisinden gelen sağlam bir duruş ve yenilikçilik sergiledi Ajansların bildirdiğine göre hırsız günlüklerinden

‘Kraliyet Muamelesinden’ Kaçınmak

Federal danışma belgesi, Royal fidye yazılımı saldırılarıyla ilişkili dosyaların, programların ve IP adreslerinin bir listesini içerir Bugüne kadarki kurbanlar arasında imalat, iletişim, eğitim ve sağlık hizmetleri de dahil olmak üzere kritik altyapı sektörlerindeki kuruluşlar yer alıyor; sonuncusu ABD Sağlık ve İnsani Hizmetler Bakanlığı (HHS) güvenlik ekibinin dikkatini çekti Yetkililer, bu hareketin yalnızca HHS’nin soruşturması değil, aynı zamanda Mayıs ayında Dallas şehrine düzenlenen yüksek profilli saldırının ardından federal yetkililer tarafından artan incelemeden kaynaklanabileceğini söyledi Grup, fidye yazılımı sahnesine, fidye yazılımını dağıtmak ve tespit edilmekten kaçınmak için çeşitli yöntemlerle donanmış olarak geldi; böylece kurbanlar yanıt verme şansına sahip olmadan, önemli hasarlar verebilir “Blacksuit fidye yazılımı, Royal’e benzer bir dizi tanımlanmış kodlama özelliğini paylaşıyor Kurumlara göre çok faktörlü kimlik doğrulamanın sistemler arasında etkinleştirilmesi ve uygulanması da önemli bir savunma taktiği

Danışmana göre “Royal, yeniden markalaşma çabası ve/veya bir yan ürün çeşidi için hazırlanıyor olabilir” araştırmacılar dedi Grubun tespit edilmesinden kısa bir süre sonra

Kurbanların %13,3’ünde ikinci en yaygın giriş modu Uzak Masaüstü Protokolü (RDP) aracılığıyla gerçekleşti ve bazı durumlarda Royal, sanal özel ağ (VPN) kimlik bilgilerini toplayarak ilk erişim ve kaynak trafiği elde etmek için halka açık uygulamalardan veya aracılardan yararlandı

Grup, bir ağa erişim sağladıktan sonra, ağdaki dayanağı güçlendirmek ve komuta ve kontrol (C2) ile iletişim kurmak için yasal Windows yazılımı ve açık kaynaklı bir tünel açma aracı olan Chisel dahil olmak üzere birden fazla araç indiriyor

Royal’in en başarılı giriş noktasının kimlik avı olduğu göz önüne alındığında, federaller çalışanların kurban olmalarını önlemek için kimlik avı dolandırıcılıklarını tespit edip bildirmeleri konusunda eğitim verilmesini de öneriyor

Grup aynı zamanda çifte şantaj uygulamaya devam ediyor; şifrelemeden önce verileri sızdırıyor ve fidye talepleri karşılanmadığı takdirde şifrelenmiş kurban verilerini kamuya açıklayacakları tehdidinde bulunuyor

Ajanslara göre, kuruluşundan bu yana sadece bir yıl içinde, grup halihazırda dünya çapında 350’den fazla kurbanı keyfi bir şekilde – belirli bölgeleri veya sektörleri hedeflemeden – hedef aldı ve 1 ila 12 milyon dolar arasında fidye talep etti — grubun operasyonlarına ve sonraki potansiyel hamlelerine yeni bir ışık tutuyor



siber-1

yetkililer Analistler ayrıca kurbanın ağını ele geçirmenin açık ara en başarılı yönteminin kimlik avı olduğunu söyledi; Ajanslara göre vakaların %66,7’sinde kimlik avı e-postaları yoluyla ağlara ilk erişim sağlandı ”

Ajansların tespitine göre grup, bu sızmayı başarmak için Cobalt Strike gibi meşru siber sızma testi araçlarını ve Ursnif/Gozi gibi kötü amaçlı yazılım araçlarını ve türevlerini veri toplama ve sızma için yeniden kullanıyor ve verileri başlangıçta bir ABD IP adresine gönderiyor Royal’in gelişmiş kısmi şifrelemesi, tehdit aktörünün bir dosyadaki belirli bir veri yüzdesini şifrelemek üzere seçmesine olanak tanır, böylece daha büyük dosyalar için şifreleme yüzdesi düşürülür ve grubun tespitten kaçmasına yardımcı olur



ABD federal verilerine göre, hızlı hareket eden grubun Eylül 2022’deki ilk faaliyetinden bu yana fidye talepleri şimdiden 275 milyon doları aştığından, Royal fidye yazılımı çetesi, potansiyel olarak yeniden markalama veya yan ürün çabalarını da içeren yeni bir faaliyet alanına hazırlanıyor gibi görünüyor

Danışmana göre, “Kraliyet aktörleri, kurbanların ağlarına erişim sağladıktan sonra antivirüs yazılımını devre dışı bırakıyor ve fidye yazılımını dağıtıp sistemleri şifrelemeden önce büyük miktarda veriyi sızdırıyor