Royal adlı bir fidye yazılımı operasyonu hızla artıyor ve şirketleri 250.000 $ 'dan 2 milyon doların üzerinde değişen fidye talepleri hedefliyor.
Royal, Ocak 2022'de piyasaya sürülen ve önceki operasyonlardan bir grup veteriner ve deneyimli fidye yazılım aktöründen oluşan bir operasyondur.
Çoğu aktif fidye yazılımı operasyonlarının aksine, Royal hizmet olarak fidye yazılımı olarak çalışmaz, bunun yerine bağlı kuruluşları olmayan özel bir gruptur.
Advintel CEO'su Vitali Kremeez, BleepingComputer'a Blackcat gibi ilk çalışırken diğer fidye yazılımı operasyonunun şifrelemelerini kullandıklarını söyledi.
Kısa bir süre sonra, siber suç işletmesi kendi şifrelemelerini kullanmaya başladı, birincisi Conti'lere çok benzer fidye notları üreten Zeon [Sample].
Ancak, Eylül 2022 ortasından bu yana, fidye yazılımı çetesi tekrar 'kraliyet' olarak yeniden markalaştı ve bu adı yeni bir şifreleme tarafından üretilen fidye notlarında kullanıyor.
Kraliyet operasyonu gölgelerde çalışıyor, bir veri sızıntısı sitesi kullanmıyor ve saldırılarının haberlerini sessiz tutmuyor.
Bununla birlikte, çete bu ay daha aktif hale geldikçe, kurbanlar BleepingComputer'da ortaya çıktı ve Virustotal'a bir örnek yüklendi.
Kremeez ve bir kurbanla yapılan konuşmalarda BleepingComputer, çetenin nasıl çalıştığına dair daha iyi bir resim yarattı.
Kremeez'e göre, Royal Group, abonelik yenilemeleri gibi davranan e -postalarda gıda dağıtımını ve yazılım sağlayıcılarını taklit ettikleri hedeflenen geri arama kimlik avı saldırılarını kullanıyor.
Bu kimlik avı e -postaları, mağdurun iddia edilen aboneliği iptal etmek için iletişim kurabileceği telefon numaraları içerir, ancak gerçekte, tehdit aktörleri tarafından işe alınan bir hizmetin sayısıdır.
Bir mağdur numarayı aradığında, tehdit aktörleri kurbanı kurumsal ağa ilk erişim elde etmek için kullanılan uzaktan erişim yazılımı kurmaya ikna etmek için sosyal mühendisliği kullanır.
BleepingComputer ile konuşan bir kraliyet kurbanı, tehdit aktörlerinin özel web uygulamalarında bir güvenlik açığı kullanarak ağlarını ihlal ettiklerini ve tehdit aktörlerinin bir ağa nasıl eriştiklerinde yaratıcı olduklarını gösterdiğini paylaştı.
Bir ağa eriştikten sonra, insan tarafından işletilen diğer fidye yazılımı işlemleri tarafından yaygın olarak kullanılan faaliyetleri gerçekleştirirler. Kalıcılık, hasat kimlik bilgileri için kobalt grevini dağıtırlar, Windows etki alanından yanal olarak yayılır, verileri çalmak ve sonuçta şifreleme cihazlarını kullanırlar.
Dosyaları şifrelerken, kraliyet şifrelemesi .Royal uzantısını şifrelenmiş dosyaların dosya adlarına ekler. Örneğin, test.jpg şifrelenir ve aşağıda gösterildiği gibi test.jpg.royal olarak yeniden adlandırılır.
Bir kraliyet kurbanı ayrıca BleepingComputer'a sanal disk dosyalarını (VMDK) doğrudan şifreleyerek sanal makineleri hedeflediklerini söyledi. Tehdit aktörleri daha sonra ağ yazıcılarına fidye notlarını yazdırır veya bunları şifreli Windows cihazlarında oluşturur.
Bu fidye notları ReadMe.txt olarak adlandırılır ve kurbanın Royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion adresindeki Özel TOR müzakere sayfasına bir bağlantı içerir. Aşağıdaki fidye notasındaki xxx düzeltildi, ancak kurbana özgüdür.
Tor müzakere sitesi, bir kurbanın kraliyet fidye yazılım operatörleriyle iletişim kurabileceği bir sohbet ekranı içeren özel bir şey değildir.
Bu müzakerelerin bir parçası olarak, fidye yazılımı çetesi fidye talebini 250.000 dolar ile 2 milyon doların üzerinde olacak.
Fidye yazılımı çetesi, kurbanların şifreleme işlerini kanıtlamaları ve çalınan verilerin dosya listelerini paylaşmaları için birkaç dosyayı da çözecek.
BleepingComputer başarılı ödemelerin farkında değil ve bu fidye yazılımı ailesi için bir şifreleme görmedi.
Grup, çift uzatma saldırıları için veri çaldığını iddia ederken, henüz kraliyet markası altında bir veri sızıntısı sitesinin başlatıldığı görülmemektedir.
Bununla birlikte, ağ, pencereler ve güvenlik yöneticilerinin bu gruba dikkat çektiği ve muhtemelen operasyonları hızla artırdıkları ve muhtemelen daha önemli kurumsal hedefleme fidye yazılımı işlemlerinden biri haline geleceği şiddetle tavsiye edilir.
Güncelleme 8/29/22: Makale, lansman tarihi ve geri arama kimlik avı örneği dahil bazı düzeltmelerle güncellendi.
Geri Çekme Yardım Saldırıları, Çeyrek 2021'den beri büyük% 625 büyüme görüyor
Ransomware'de Hafta - 30 Eylül 2022 - Gölgelerden Ortaya Çıkıyor
Blackcat Ransomware’in Veri Eksfiltrasyon Aracı Yükseltme
Fidye yazılımı çeteleri 'geri arama' sosyal mühendislik saldırılarına geçiyor
Son Fidye Yazılımı Saldırılarına Bağlı Yeni 'Donut Sızıntıları' gasp çetesi
Kaynak: Bleeping Computer