هشدار CISA درباره باج‌افزار Royal

کمیته رکن چهارم – آژانس امنیت سایبری و امنیت زیرساخت آمریکا در توصیه‌نامه جدید خود به کاربران درباره باج‌افزار Royal هشدار داد.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) سیستم هشداردهنده جدیدی را برای مدافعان در برابر گروه باج‌افزار رویال (Royal) منتشر کرده است.

این سند به عنوان بخشی از کمپین #StopRansomware این آژانس، روز پنجشنبه با همکاری FBI منتشر شد و تاکتیک‌ها، تکنیک‌ها و رویه‌ها را در کنار شاخص‌های سازش مرتبط با انواع باج‌افزار Royal توصیف می‌کند.

مشاور امنیت سایبری مشترک (CSA) می‌گوید فعالیت‌های مخرب اخیر توسط عوامل تهدید با استفاده از یک نوع بدافزار خاص از سپتامبر ۲۰۲۲ مشاهده شده است.

در این توصیه‌نامه آمده است: FBI و CISA بر این باورند که این نوع باج‌افزار که از برنامه رمزگذاری فایل سفارشی خود استفاده می‌کند، از تکرارهای قبلی که از «Zeon» به عنوان بارگیری استفاده می‌کردند، تکامل یافته است.

پس از دسترسی اولیه به شبکه‌ها از طریق فیشینگ، پروتکل دسکتاپ از راه دور (RDP و تکنیک‌های دیگر) عوامل تهدید در حال غیرفعال کردن نرم‌افزار آنتی‌ویروس در سیستم‌های قربانیان و استخراج مقادیر زیادی از داده‌ها مشاهده شدند. آن‌ها در نهایت باج‌افزار و سیستم‌های رمزگذاری شده را مستقر کردند.

CISA نوشت: عوامل باج‌افزار رویال باج‌خواهی‌هایی از حدود ۱ میلیون دلار تا ۱۱ میلیون دلار به صورت بیت‌کوین مطرح کرده‌اند.

در همان زمان، آژانس تصریح کرد که در حوادث مشاهده شده، عوامل رویال دستورالعمل‌های باج یا پرداخت را به عنوان بخشی از یادداشت باج خود درج نکرده بودند.

در عوض، یادداشتی که پس از رمزگذاری ظاهر می‌شود، از قربانیان می‌خواهد که مستقیماً از طریق یک URL .onion (قابل دسترسی از طریق مرورگر Tor) با عامل تهدید تعامل کنند.

در زمان نگارش این مقاله، CISA نوشت که عوما این باج‌افزار چندین بخش زیرساختی حیاتی از جمله تولید، ارتباطات، آموزش و مراقبت‌های بهداشتی را هدف قرار داده‌اند.

مانند سایر توصیه‌های #StopRansomware، سیسا همچنین مجموعه‌ای از توصیه‌ها را برای کاهش احتمال و تأثیر حوادث باج‌افزار ارائه کرد.

این موارد شامل الزام همه حساب‌های دارای رمز عبور برای پیروی از استانداردهای مؤسسه ملی استاندارد و فناوری (NIST)، به‌روز نگه‌داشتن همه سیستم‌ها و انجام بخش‌بندی شبکه در صورت امکان است.

توصیه CISA چند ماه پس از اینکه عامل تهدید نوظهور موسوم به DEV-۰۵۶۹ توسط مایکروسافت در حال توسعه ابزارهای جدید برای ارائه باج‌افزار سلطنتی مشاهده شد.

منبع: افتانا