CISA ve FBI, sağlık, iletişim ve eğitim de dahil olmak üzere birçok ABD kritik altyapı sektörünü hedefleyen devam eden kraliyet fidye yazılımı saldırılarının arkasındaki artan tehdide vurgulayan ortak bir danışma yayınladı.
Bu, güvenlik ekibi Aralık 2022'de fidye yazılımı operasyonunun ABD sağlık kuruluşlarına yönelik birden fazla saldırı ile bağlantılı olduğunu açıklayan Sağlık ve İnsan Hizmetleri Departmanı (HHS) tarafından yayınlanan bir danışmanlığı izlemektedir.
Yanıt olarak, FBI ve CISA uzlaşma göstergelerini ve savunucuların ağlarında kraliyet fidye yazılımı yüklerini algılamaya ve engellemelerine yardımcı olacak taktikler, teknikler ve prosedürlerin (TTPS) bir listesini paylaştı.
ABD Siber Güvenlik Ajansı Perşembe günü yaptığı açıklamada, "CISA, ağ savunucularını CSA'yı incelemeye ve dahil edilen hafifletmeleri uygulamaya teşvik ediyor." Dedi.
Federal ajanslar, hedeflenen tüm kuruluşlara, yükselen fidye yazılımı tehdidine karşı kendilerini korumak için somut adımlar atma riski istemektedir.
Kuruluşlarının ağlarını korumak için, işletme yöneticileri, saldırganların zaten sömürdüğü bilinen herhangi bir güvenlik açıklarının iyileştirilmesine öncelik vererek başlayabilir.
Çalışanları kimlik avı denemelerini etkili bir şekilde tespit etmek ve bildirmek için eğitmek de çok önemlidir. Siber güvenlik savunmaları, çok faktörlü kimlik doğrulama (MFA) sağlayarak ve uygulanarak daha da sertleştirilebilir, bu da saldırganların hassas sistemlere ve verilere erişmesini çok daha zor hale getirir.
Analiz için ID-Ransomware platformuna sunulan örnekler, kurumsal hedefleme çetesinin Ocak ayı sonlarından itibaren giderek daha aktif olduğunu ve bu fidye yazılımı operasyonunun kurbanları üzerindeki büyük etkisini gösterdiğini gösteriyor.
FBI, fidye ödemenin muhtemelen diğer siber suçluları saldırılara katılmaya teşvik edeceğini söylese de, kurbanların fidye ödeyip ödemediklerine bakılmaksızın kraliyet fidye yazılımı olaylarını yerel FBI saha ofislerine veya CISA'ya bildirmeleri isteniyor.
Herhangi bir ek bilgi, fidye yazılım grubunun etkinliğini takip etmek, daha fazla saldırıyı durdurmak veya saldırganları eylemlerinden sorumlu tutmak için gereken kritik verilerin toplanmasına yardımcı olacaktır.
Royal Ransomware, daha önce kötü şöhretli Conti siber suç çetesi ile çalıştığı bilinen son derece deneyimli tehdit aktörlerinden oluşan özel bir operasyondur. Kötü niyetli faaliyetleri, ilk olarak Ocak 2022'de tespit edilmesine rağmen, Eylül ayından bu yana sadece faaliyette bir sıçrama gördü.
Başlangıçta Blackcat gibi diğer operasyonlardan şifrelemeleri konuşlandırsalar da, o zamandan beri kendilerini kullanmaya geçtiler.
Birincisi, Conti tarafından kullanılanlara benzer fidye notları üreten Zeon'du, ancak Eylül ayının ortalarında "Royal" a yeniden markalaştıktan sonra yeni bir şifrelemeye geçtiler.
Kötü amaçlı yazılımlar yakın zamanda Linux cihazlarını şifrelemeye yükseltildi ve özellikle VMware ESXI sanal makinelerini hedefleyen.
Kraliyet operatörleri hedeflerinin kurumsal sistemlerini şifreliyor ve 250.000 $ 'dan on milyonlara saldırı başına ağır fidye ödemeleri talep ediyor.
Bu fidye yazılımı operasyonu, sosyal mühendislik taktikleri nedeniyle, kurumsal kurbanları, yazılım sağlayıcıları ve gıda dağıtım hizmetleri gibi davrandıkları geri arama kimlik avı saldırılarının bir parçası olarak uzaktan erişim yazılımı kurmaya kandırmak için kalabalıktan da öne çıkıyor.
Buna ek olarak, grup, haber kapsamını çekmeyi ve kurbanları üzerinde daha fazla baskı eklemeyi umarak, gazetecilere tehlikeye atılan hedeflerin ayrıntılarını tweetlemek için hacklenmiş Twitter hesaplarını kullanmak için benzersiz bir strateji kullanıyor.
Bu tweetler, grubun onları şifrelemeden önce kurban ağlarından çaldığı iddia edilen sızdırılmış verilere bir bağlantı içerir.
Cisa, ajanslara fidye yazılımı çetesi tarafından kötüye kullanılan borsa hatası yapmasını emreder
Sağlık Fonu Govt Operasyonlarına Kuzey Kore Fidye Yazılımı Saldırıları
CISA, Esxiargs Fidye Yazılımı Mağdurları için Kurtarma Script'i serbest bıraktı
Clop fidye yazılımı kusuru, Linux kurbanlarının aylarca dosyaları kurtarmasına izin verdi
VMware, ESXI sunucularını Patch, OpenSlp Hizmetini Devre Dışı Bırakma konusunda uyarıyor
Kaynak: Bleeping Computer