Royal Ransomware

Royal Ransomware

Royal Ransomware, ilk olarak 2022’nin başlarında gözlemlenen son derece karmaşık ve hızla gelişen bir kötü amaçlı yazılım türüdür. O zamanlar BlackCat ve özel Zeon fidye yazılımı gibi üçüncü taraf fidye yazılımlarını kullanıyordu. Royal Ransomware, Eylül 2022’den itibaren kendi fidye yazılımını kullanmaya başladı. 2022’deki kazançlı büyük oyun avcılığı serisi, Royal’e yılın en üretken ve tehditkar fidye yazılımı kampanyaları arasında yer almasını sağladı. Yalnızca Kasım 2022’de Royal’i işleten fidye yazılımı çetesi Royal, uzlaşma başına 250.000$ ila 2 milyon dolar talep eden 43 yeni kurban hekledi. Royal kurumsal kurbanları arasında Birleşik Krallık’ın en popüler yarış pisti olan Silverstone Circuit, Travis Merkezi Değerleme Bölgesi, Teksas eyaletinin bir hükümet kuruluşudur; ve isimsiz, büyük bir ABD telekomünikasyon şirketi 60 milyon dolarlık fidye talebiyle vuruldu.

Royal Ransomware , öncelikle büyük kurumsal kurbanlardan şantaj yaparak finansal kazanç elde etmek isteyen elit tehdit aktörlerinden oluşan özel bir gruptur. Royal saldırı modellerinin analizi, diğer üst düzey fidye yazılımı çeteleri Conti ve Ryuk ile karşılaştırmalar yapılmasına yol açtı ve bu da Royal operatörlerinin diğer siber suç operasyonlarından ayrıldığını gösteriyor. Royal’i hizmet olarak fidye yazılımı (RaaS) olarak satmak yerine Royal, kurumsal ağlara yeraltı İlk Erişim Aracılarından (IAB’ler) doğrudan erişim satın alıyor ve saldırı kampanyalarını dahili olarak yönetiyor. Royal Ransomware  ayrıca, virüslü dosyaların şifresinin çözülmesi için fidye taleplerine ek olarak, sıklıkla çifte şantaj taktikleri de kullanmaktadırlar; kurbanlara, çalınan verileri kamuya açık hale getirmekle tehdit ettikten sonra bunları silmeleri için şantaj yamaktadırlar.

Royal Ransomware  ile ilgili önemli bulgular

Fidye yazılımına karşı savunmalardan kaçınmak için benzersiz yaklaşım: Royal fidye yazılımı, kısmi şifreleme kavramını genişletir; bu, dosya içeriğinin önceden belirlenmiş bir bölümünü şifreleme ve kısmi şifrelemesini esnek bir yüzde şifrelemeye dayandırma yeteneğine sahip olduğu anlamına gelir, bu da algılamayı daha kolay hale getirimektedir. Fidye yazılımına karşı çözümler için zorludur.

Çok iş parçacıklı fidye yazılımı: Royal Ransomware (Royal fidye yazılımı), şifreleme sürecini hızlandırmak için birden fazla iş parçacığı kullanmaktadır

Küresel fidye yazılımı operasyonu: Royal Ransomware dünya çapında ve bildirildiğine göre kendi başına faaliyet gösteriyor. Grubun hizmet olarak fidye yazılımı (Ransomware) kullandığı ya da belirli bir sektörleri veya ülkeleri hedef aldığı görünmemektedir.

Royal Ransomware operasyonları farklı şekillerde başlar. Yöntemlerden biri kimlik avı kampanyalarıdır ve yaygın e-suç tehdit yükleyicilerinden biri olan BATLOADER ve Qbot’u kullanır. Tehdit yükleyici daha sonra, virüslü ortamda kötü niyetli operasyona devam etmek için bir Cobalt Strike verisi indirir. Bu taktik, Qbot ve BlackBasta dahil olmak üzere diğer Ransomware (fidye yazılımı) operasyonları tarafından yaygın olarak kullanılmaktadır.