Royal Ransomware, Linux cihazlarının en son kötü amaçlı yazılım varyantlarına şifrelemeye destek eklemek için en son fidye yazılımı işlemidir, özellikle VMware ESXI sanal makinelerini hedefler.
BleepingComputer, Black Basta, Lockbit, Blackmatter, Avoslocker, Revil, Hellokitty, Ransomexx ve Hive dahil olmak üzere diğer birçok çete tarafından yayınlanan benzer Linux fidye yazılım şifrelemeleri hakkında rapor veriyor.
Yeni Linux Royal Ransomware varyantı, Equinix Tehdit Analiz Merkezi'nden (ETAC) Will Thomas tarafından keşfedildi ve komut satırı kullanılarak yürütüldü.
Ayrıca, fidye yazılımı operatörlerine şifreleme işlemi üzerinde biraz kontrol sağlayacak birden fazla bayrak desteği ile birlikte gelir:
Dosyaları şifrelerken fidye yazılımı .royal_u uzantısını VM'deki tüm şifreli dosyalara ekler.
Anti-yazılım çözümleri, yeni hedefleme yeteneklerini bir araya getiren kraliyet fidye yazılımı örneklerini tespit eden sorunlara sahip olsa da, şimdi Virustotal'daki 62 kötü amaçlı yazılım tarama motorundan 23'ü tarafından tespit edilmektedir.
Royal Ransomware, daha önce Conti Fidye Yazılımı Operasyonu ile çalışan tecrübeli tehdit aktörlerinden oluşan özel bir operasyondur.
Eylül ayından itibaren Royal, Ocak 2022'de ilk kez tespit edildikten aylar sonra kötü niyetli faaliyetleri artırdı.
Başlangıçta Blackcat gibi diğer operasyonlardan şifrelemeleri kullanırken, Conti tarafından üretilenlere benzer fidye notlarını düşüren Zeon'dan başlayarak kendi kullanmaya geçtiler.
Eylül ayının ortalarında, grup "Royal" olarak yeniden markalaştı ve aynı adı taşıyan fidye notları üreten saldırılarda yeni bir şifreleme kurmaya başladı.
Çete, hedeflerinin kurumsal ağ sistemlerini şifreledikten sonra 250.000 $ 'dan on milyonlara kadar fidye ödemeleri talep ediyor.
Aralık ayında, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS), Sağlık ve Halk Sağlığı (HPH) sektöründeki kuruluşları hedefleyen kraliyet fidye yazılımı saldırıları konusunda uyardı.
Fidye yazılımı gruplarının ESXI sanal makinelerini hedeflemeye yönelik kayması, işletmelerin geliştirilmiş cihaz yönetimi ve çok daha verimli kaynak işleme ile birlikte geldikçe VMS'ye geçtikleri bir eğilimle uyumludur.
Yüklerini ESXI ana bilgisayarlarına dağıttıktan sonra, fidye yazılımı operatörleri birden çok sunucuyu şifrelemek için tek bir komut kullanır.
Wosar geçen yıl BleepingComputer'a verdiği demeçte, "Çoğu fidye yazılımı grubunun fidye yazılımlarının Linux tabanlı bir versiyonunu uygulamasının nedeni, özellikle ESXI'yi hedeflemektir." Dedi.
BleepingComputer forumunda bu destek konusuna vurulursanız Royal Ransomware ve ne yapacağınız hakkında daha fazla bilgi bulabilirsiniz.
Bir Lansweeper raporuna göre, İnternet'te maruz kalan on binlerce VMware ESXI sunucusu Ekim ayında ömür boyu sonlarına ulaştı.
Bu sistemler sadece bundan sonra teknik destek alacaktır, ancak fidye yazılımı saldırılarına maruz kalan güvenlik güncellemeleri yoktur.
İşleri perspektife koymak ve bu tür sunucuların saldırılarına ne kadar maruz kaldığını göstermek için, ESXIArgs olarak bilinen yeni bir fidye yazılımı suşu, bu Cuma günü dünya çapında ESXI cihazlarını hedefleyen büyük bir kampanyada taranmamış sunucuları taramak ve şifrelemek için kullanıldı.
Bir Shodan aramasına göre, sadece birkaç saat içinde bu saldırılarda dünya çapında 100'den fazla sunucu tehlikeye atıldı.
CISA, Esxiargs fidye yazılımı kurbanları için kurtarma senaryosunu serbest bıraktı
Masif Esxiargs Fidye Yazılımı Saldırısı Hedefleri VMware ESXI Sunucuları Dünya Çapında
VMware, ESXI sunucularını Patch, OpenSlp Hizmetini Devre Dışı Bırakma konusunda uyarıyor
Ransomware'de Hafta - 3 Şubat 2023 - Bir karmaşa ile bitiyor
Clop fidye yazılımı kusuru, Linux kurbanlarının aylarca dosyaları kurtarmasına izin verdi
Kaynak: Bleeping Computer