Skip to content

Hunting Royal Ransomware

Published by Mehmet Can Taş on December 29, 2022

2022 başlarında görülmeye başlayan, yılın son günlerinde yaygınlığı oldukça artan fidye yazılımı Royal Ransomware duyumlarımıza göre oldukça can yakmaya başlamış. Kurumunuzda bu grubun hareketlerine benzer hareketleri araştırmak isterseniz sizlerle başlıca davranışlarını arayabileceğiniz tehdit avı sorgularını paylaşacağım.

Öncelikle başlıklar halinde önemli bulgular şöyle;

  • EPP’lerden kaçınmak için benzersiz bir yaklaşım

Royal ransomware, önceden belirlenmiş bir dosya içeriğinin bir kısmını şifreleme yeteneğine sahip olup, esnek şifreleme tabanına dayalı kısmi şifreleme kavramını kullanır. Bu sayede, anti-ransomware çözümleri için tespit edilmesi ve engellenmesi daha zor hale gelir.

  • Multi-Thread Encryption

Royal ransomware, şifreleme işlemini hızlandırmak için birden fazla iş parçacığı kullanır.

  • Global Operasyon

Royal ransomware, dünya çapında faaliyet gösterir ve raporlara göre kendi başına çalışır. Grubun bir hizmet olarak ransomware kullanmadığı veya belirli bir sektör veya ülkeye hedef almadığı görülmektedir.

  • Farklı Dağıtım/Deployment Yöntemleri

En sık CallBcack Phising yöntemi ile yayılmaya çalışıyor. Bu yöntem Conti tarafından da kullanılıyor. CallBack Phising:

https://www.bleepingcomputer.com/news/security/callback-phishing-attacks-evolve-their-social-engineering-tactics/

Hatta Google AdSense reklamlarını bile kullandıkları söyleniyor

https://www.2-spyware.com/google-ads-used-to-spread-royal-ransomware-by-cybercriminals

Hunting Sorguları

Browser Credential Access 

Event Type Id:8003 AND Actor File Name: net.exe AND Actor Command Line:*-id* AND File Path:*microsoft\credentials*

Defacement

File Encryption

Event Type Id:8003 AND Actor File Name: net.exe AND Actor Command Line:*-id*

Royal Ransom Note

Event Type Id:8003-File Activity AND Disposition:1 AND Actor File Name: net.exe AND Actor Command Line:*-id* AND File Path:*readme.txt

Inhibit System Recovery

Delete Shadow Copy

Event Type Id: 8001 AND Actor File Name: net.exe AND Actor Command Line:*-id* AND  Process Name: vssadmin.exe  AND Process Command Line:*delete* AND Process Command Line:*shadows*

Signed Binary Proxy Execution

CMD launches net.exe with id parameter

Event Type Id:8001 AND Actor File Name:cmd.exe AND Process Name:net.exe AND Process Command Line:*-id*
Published inEndpoint Security