Teksas Dallas şehri, bu hafta Mayıs ayında tüm BT sistemlerini kapatmaya zorlayan kraliyet fidye yazılımı saldırısının çalınan bir hesapla başladığını söyledi.
Royal, Nisan ayı başlarında çalıntı bir alan hizmeti hesabı kullanarak şehrin ağına erişim sağladı ve 7 Nisan ve 4 Mayıs tarihleri arasında tehlikeye atılan sistemlere erişimi sürdürdü.
Bu dönemde, şehir yetkilileri ve harici siber güvenlik uzmanları tarafından yürütülen sistem günlüğü veri analizine dayalı olarak 1.169 TB değerinde dosyayı başarıyla topladılar ve söndürdüler.
Çete ayrıca fidye yazılımı dağıtım aşamasını, şehrin sistemlerine kobalt grev komuta ve kontrol işaretlerini bırakarak hazırladı. 3 Mayıs'ta saat 2'de Royal, sunucuları şifrelemek için meşru Microsoft yönetim araçlarını kullanarak fidye yazılımı yüklerini dağıtmaya başladı.
Saldırıyı tespit ettikten sonra, şehir, Royal'in ilerlemesini engellemek için yüksek öncelikli sunucuları çevrimdışı alarak azaltma çabalarını başlattı. Eşzamanlı olarak, iç ve dış siber güvenlik uzmanları ekiplerinin yardımıyla hizmet restorasyon çabalarına başladı.
Tüm sunucuları geri yükleme işlemi, finansal sunucunun yeniden canlandırıldığı 9 Mayıs'tan hemen hemen 5 haftadan biraz fazla sürdü, saldırıdan etkilenen son sunucu, atık yönetimi sunucusunun geri yüklendiği 13 Haziran'a kadar sürdü.
Şehir, bu hafta yayınlanan bir ölüm sonrası ölümde, "Şehir TXOAG'a 26.212 Teksas sakininin kişisel bilgilerinin ve toplam 30.253 kişinin saldırı nedeniyle potansiyel olarak maruz kaldığını bildirdi." Dedi.
"OAG'nin web sitesi, isimler, adresler, sosyal güvenlik bilgileri, sağlık bilgileri, sağlık sigortası bilgileri ve bu tür diğer bilgilerin Kraliyet tarafından maruz bırakıldığını gösterdi."
Şimdiye kadar, Dallas Kent Konseyi, fidye yazılımı saldırısı restorasyon çabaları için 8,5 milyon dolarlık bir bütçe belirledi ve nihai maliyetler daha sonra paylaşılacak.
Dallas, yaklaşık 2,6 milyon insan nüfusu ile dördüncü en büyük metropol alanı ve Amerika Birleşik Devletleri'nin dokuzuncu en büyük şehridir.
Yerel medya ilk olarak şehrin polis iletişiminin ve BT sistemlerinin, fidye yazılımı saldırısı nedeniyle 3 Mayıs Pazartesi sabahı kapatıldığını bildirdi.
"Çarşamba sabahı, şehrin güvenlik izleme araçları, Güvenlik Operasyon Merkezimize (SOC) çevremizde olası bir fidye yazılımı saldırısının başlatıldığını bildirdi. Daha sonra, şehir fidye yazılımlarıyla bir dizi sunucunun tehlikeye atıldığını doğruladı. Dallas Emniyet Müdürlüğü web sitesi de dahil olmak üzere, "Dallas Şehri 3 Mayıs'ta yayınlanan bir açıklamada açıkladı.
"Şehir ekibi, satıcılarıyla birlikte, fidye yazılımlarını yayılmasını önlemek, fidye yazılımlarını enfekte sunuculardan çıkarmak ve şu anda etkilenen herhangi bir hizmeti geri yüklemek için aktif olarak çalışıyor. Şehrin olay müdahale planı (IRP). "
Dallas'ın ağındaki ağ yazıcıları, olayın sabahı fidye notlarını basmaya başladı ve BleepingComputer'ın Royal Fidye yazılımı çetesinin notun bir resmi bizimle paylaşıldıktan sonra saldırının arkasında olduğunu doğrulamasına izin verdi.
Kraliyet fidye yazılımı çetesinin, Conti siber suç çetesinin bir dalı olarak ortaya çıktığına inanılıyor ve Conti kapatma işlemlerinden sonra önem kazanıyor.
Ocak 2022'de piyasaya sürüldüğünde Royal, dikkat çekmeyi önlemek için ALPHV/Blackcat gibi diğer fidye yazılımı operasyonlarından başlangıçta enstritörleri kullandı. Ancak, daha sonra yıl boyunca saldırılarında kendi şifrelemeleri Zeon'u kullanmaya başladılar.
Fidye yazılımı operasyonu, 2022 sonuna doğru "kraliyet" adını benimseyerek ve işletmeleri hedefleyen en aktif fidye yazılımı çetelerinden biri olarak ortaya çıktı.
Royal, halka açık cihazlardaki güvenlik kusurlarını hedeflerin ağlarını ihlal etmek için kullandığı bilinmekle birlikte, kurumsal ağlara ilk erişim elde etmek için sık sık geri dönüş kimlik avı saldırılarına başvurur.
Hedefler, abonelik yenilemeleri olarak kamufle edilen e -postalara gömülü telefon numaralarını çağırdığında, saldırganlar kurbanları tehdit aktörlerine ağlarına erişim sağlayan uzaktan erişim yazılımı yüklemeye kandırmak için sosyal mühendisliği kullanırlar.
Doğan Ontario Çocuk Kayıt Defteri Veri ihlali 3,4 milyon kişiyi etkiliyor
Bumblebee kötü amaçlı yazılım, WebDAV klasörlerini kötüye kullanan yeni saldırılarda geri dönüyor
Blackcat Fidye Yazılımı Sfinx şifreleyicisi ile Azure Storage isabet ediyor
Fidye Yazılımında Hafta - 15 Eylül 2023 - Rus Rulet
Microsoft: Blackcat'ın Sfinx Ransomware Emmeds Impacket, Remcom
Kaynak: Bleeping Computer