رانسوم وير

داخل مجموعة Royal Ransomware سيئة السمعة: الكشف عن عهدها من الفوضى السيبرانية

تعد مجموعة Royal ransomware لاعبًا جديدًا نسبيًا في عالم الجرائم الإلكترونية، حيث يعود تاريخ أول نشاط معروف لها إلى منتصف عام 2022. من بين جميع الضحايا الذين نشرتهم المجموعة، قمنا بحساب أن مجموعة Royal Ransomware قد سربت أكثر من 249 تيرابايت من البيانات حتى الآن.

June 4, 2023

دقيقة

جدول المحتوى

مثال H2

التاريخ والظهور

تعد مجموعة Royal ransomware لاعبًا جديدًا نسبيًا في عالم الجرائم الإلكترونية، حيث يعود تاريخ أول نشاط معروف لها إلى منتصف عام 2022. وسرعان ما اكتسبت المجموعة شهرة بسبب تكتيكاتها المعقدة وهجماتها الناجحة على أهداف بارزة، بما في ذلك الحكومات ومقدمي الرعاية الصحية والمؤسسات المالية. من بين جميع الضحايا الذين نشرتهم المجموعة، قمنا بحساب ذلك قامت مجموعة Royal Ransomware بتسريب أكثر من 249 تيرابايت من البيانات حتى الآن.

‍

بدءًا من سبتمبر 2022 أو حوالي ذلك الحين، تم استخدام نوع جديد من برامج الفدية الملكية من قبل مجرمي الإنترنت من أجل اختراق الكيانات الأمريكية والدولية. وفقًا لمكتب التحقيقات الفيدرالي (FBI) و CISA، يستخدم هذا الإصدار المحدد برنامج تشفير مخصص وقد تطور من الإصدارات السابقة التي استخدمت»زيون«كمحمل. يتسلل برنامج Royal ransomware إلى شبكة ضحيته ويعطل أي برنامج مضاد فيروسات موجود. يقوم المهاجمون بعد ذلك بإخراج كمية كبيرة من البيانات قبل بدء عملية تشفير برامج الفدية. يتم تقديم طلبات الدفع التي تتراوح من حوالي مليون دولار إلى 11 مليون دولار أمريكي في بيتكوين من قبل المهاجمين. ومن المثير للاهتمام أن مذكرات الفدية الأولية الصادرة عن Royal ransomware لا تحتوي على مبالغ الفدية وتعليمات الدفع. بدلاً من ذلك، يُطلب من الضحايا التعامل مع المهاجمين من خلال عنوان URL .onion الذي يتم الوصول إليه عبر متصفح Tor.

‍

طوال عام 2022 وأوائل عام 2023، استمرت مجموعة Royal ransomware في تطوير تكتيكاتها وتحسينها، مع اكتشاف أنواع جديدة من برامج الفدية الخاصة بها بشكل منتظم. في يناير 2023، تصدرت المجموعة عناوين الصحف بهجوم هائل على مدينة دالاس بولاية تكساس. أدى الهجوم إلى اضطرابات كبيرة في خدمات المدينة، بما في ذلك أنظمة الطوارئ 911 وبوابات الدفع عبر الإنترنت. المجموعة بارعة بشكل خاص في استغلال نقاط الضعف في برامج المؤسسات وبمرور الوقت طورت هذه المجموعة البرامج الضارة وأدوات التشفير المخصصة الخاصة بها.

‍

الاتجاهات التي تمت ملاحظتها

استنادًا إلى البيانات الموجودة في الشكل 1، يبدو أن مجموعة Royal Ransomware زادت من هجماتها على الشركات بمرور الوقت. يبدو أن عدد الشركات المستهدفة قد ارتفع من 2 في سبتمبر 2022 إلى 37 في مارس 2023.

*الشكل 1: الاتجاهات في الكيانات المستهدفة من قبل مجموعة Royal Ransomware*

‍

بالإضافة إلى ذلك، يبدو أن هناك نمطًا من التباين في عدد الشركات المستهدفة كل شهر. على سبيل المثال، هناك زيادة كبيرة من أكتوبر إلى نوفمبر 2022، ثم زيادة أقل من نوفمبر إلى ديسمبر. على الرغم من وجود انخفاض في عدد الشركات المستهدفة من مارس إلى أبريل 2023، إلا أن الاتجاه آخذ في الارتفاع بشكل عام. من البيانات المنشورة حول هؤلاء الضحايا على موقع العلاقات العامة الخاص بهم، قمنا أيضًا بتحليل ذلك استهدفت مجموعة Royal Ransomware Group الشركات التي تبلغ إيراداتها الإجمالية أكثر من 48 مليار دولار حتى الآن.

‍

توزيع الضحايا حسب المنطقة

تشير البيانات من الشكل 2 إلى أن غالبية ضحايا هجوم Royal Ransomware موجودون في الولايات المتحدة، بإجمالي تم الإبلاغ عن 106 حالة. ألمانيا يأتي في المركز الثاني مع 14 حالة تم الإبلاغ عنها، تليها كندا مع 11 حالة. تم الإبلاغ عن 7 حالات في المملكة المتحدة، والبرازيل بـ 5 حالات، وإيطاليا وفرنسا بـ 3 حالات لكل منهما. البلدان المتبقية لديها حالة واحدة أو حالتين لكل منها.

‍

*الشكل 2: تصنيف قطري لضحايا مجموعة Royal Ransomware*

‍

من الممكن أن تكون الولايات المتحدة هي المنطقة الأكثر استهدافًا من قبل المجموعة بسبب مجموعة متنوعة من العوامل، مثل العدد الكبير من الشركات والأفراد الذين يستخدمون التكنولوجيا في البلاد، أو المستوى العالي من انتشار الإنترنت، أو ببساطة حقيقة أن المهاجمين الذين يقفون وراء برامج الفدية اختاروا التركيز على هذه المنطقة.

‍

يبدو أن ألمانيا وكندا أيضًا أهداف مهمة لهجوم Royal Ransomware ولكن بدرجة أقل من الولايات المتحدة. قد يشير هذا إلى أن المهاجمين يركزون على المناطق ذات الاقتصادات القوية أو مستويات عالية من التطور التكنولوجي. ومع ذلك، من الممكن أيضًا أن يتأثر عدد الحالات المبلغ عنها في كل بلد بعوامل مثل مستوى الوعي بالأمن السيبراني، وتوافر الموارد للرد على الهجوم، واستعداد الضحايا للإبلاغ عن الحادث. تشير حقيقة ظهور دول مثل البرازيل وإيطاليا وفرنسا أيضًا في القائمة إلى أن هجوم Royal Ransomware لا يقتصر على منطقة معينة أو مجموعة من البلدان. بدلاً من ذلك، يبدو أنها ظاهرة عالمية تؤثر على الشركات والأفراد في جميع أنحاء العالم.

‍

التحليل والإسناد

تستخدم مجموعة Royal ransomware طرقًا مختلفة للوصول الأولي إلى شبكات الضحايا. ال التكتيك الأكثر شيوعًا هو رسائل البريد الإلكتروني الاحتيالية الناجحة. يقوم الضحايا دون علمهم بتثبيت البرامج الضارة التي توفر Royal ransomware بعد تلقي رسائل البريد الإلكتروني المخادعة التي تحتوي على مستندات PDF ضارة، أو من خلال الإعلانات الضارة.

هناك طريقة أخرى يمكن للمجموعة الوصول إليها من خلال حل وسط RDP. بالإضافة إلى ذلك، تمت ملاحظة المجموعة استغلال التطبيقات التي تواجه الجمهور للحصول على وصول أولي من مكتب التحقيقات الفدرالي.

هناك أيضًا تقارير تشير إلى أن مجموعة Royal ransomware قد تستخدم الوسطاء للحصول على وصول أولي ومصدر حركة المرور عن طريق حصاد بيانات اعتماد الشبكة الافتراضية الخاصة (VPN) من سجلات السارق، وفقًا لمصادر خارجية موثوقة.

بالإضافة إلى خبرتها الفنية، أظهرت مجموعة Royal ransomware أيضًا استعدادها للمشاركة في مفاوضات عالية المخاطر مع ضحاياها. ومن المعروف أن المجموعة تطالب بفدية بملايين الدولارات وتهدد بتسريب بيانات حساسة إذا لم يتم تلبية مطالبها.

‍

وفقًا لملف تعريف الويب المظلم الذي نشرته Socradar، يُعتقد أن مجموعة Royal ransomware تعمل بشكل أساسي خارج روسيا وأوكرانيا. تم ربط المجموعة بالعديد من منظمات الجريمة الإلكترونية الأخرى العاملة في المنطقة ويعتقد أن لها علاقات قوية مع مجرمي الإنترنت الناطقين بالروسية.

‍

عوامل التخفيف

‍

لتعزيز الوضع الأمني لمؤسستها، يمكن للشركات تنفيذ العديد من خطوات التخفيف.

قم بإجراء عمليات تدقيق ومراقبة منتظمة لسجلات الأحداث والحوادث لتحديد أي أنماط أو سلوك غير عادي.
قم بتطبيق تكوينات الأمان على أجهزة البنية التحتية للشبكة الخاصة بهم مثل جدران الحماية وأجهزة التوجيه.
استفد من الأدوات والتطبيقات التي تمنع تنفيذ البرامج الضارة.
قم بإعادة تعيين بيانات اعتماد تسجيل دخول المستخدم المخترقة وفرض سياسة كلمة مرور قوية.
بالإضافة إلى ذلك، يمكن للشركات فرض تدابير حماية البيانات والنسخ الاحتياطي والاسترداد. يمكنهم أيضًا تنفيذ المصادقة متعددة العوامل عبر الأجهزة والأنظمة الأساسية.
يمكن أن يكون التقييم المنتظم للمهارات الأمنية والتدريب لجميع الموظفين مفيدًا أيضًا.
يمكن أن يؤدي إجراء تمارين الفريق الأحمر الدورية واختبارات الاختراق إلى تحسين الوضع الأمني للمؤسسة.
من المهم أيضًا مراقبة أي حالات شاذة في حسابات المستخدمين والأنظمة التي يمكن أن تشير إلى استحواذ محتمل.

‍

مؤشرات التسوية (IOCs)

‍

Files

A file named 'readme_unlock_files.txt' or 'readme_files_unlock.txt' is dropped in the directories containing the encrypted files

A file named 'royal_info.txt' or 'royal_readme.txt' is dropped on the desktop

A registry key is created with the name 'WindowsUpdate'

A file named '7za.exe' is dropped in the Windows directory

A file named 'decrypt_files_.html' or 'decrypt_files_.txt' is dropped in the directories containing the encrypted files

A file named 'README_FOR_DECRYPT.txt' or 'README_TO_RECOVER_FILES.TXT' is dropped in the directories containing the encrypted files

IPv4
102[.]157[.]44[.]105	185[.]143[.]223[.]69	41[.]97[.]65[.]51
105[.]158[.]118[.]241	185[.]7[.]214[.]218	42[.]189[.]12[.]36
105[.]69[.]155[.]85	186[.]64[.]67[.]6	45[.]227[.]251[.]167
113[.]169[.]187[.]159	186[.]86[.]212[.]138	45[.]61[.]136[.]47
134[.]35[.]9[.]209	190[.]193[.]180[.]228	45[.]8[.]158[.]104
139[.]195[.]43[.]166	193[.]149[.]176[.]157	47[.]87[.]229[.]39
139[.]60[.]161[.]213	193[.]235[.]146[.]104	5[.]181[.]234[.]58
140[.]82[.]48[.]158	196[.]70[.]77[.]11	5[.]188[.]86[.]195
147[.]135[.]11[.]223	197[.]11[.]134[.]255	5[.]44[.]42[.]20
147[.]135[.]36[.]162	197[.]158[.]89[.]85	61[.]166[.]221[.]46
148[.]213[.]109[.]165	197[.]204[.]247[.]7	68[.]83[.]169[.]91
152[.]89[.]247[.]50	197[.]207[.]181[.]147	77[.]73[.]133[.]84
163[.]182[.]177[.]80	197[.]207[.]218[.]27	81[.]184[.]181[.]215
172[.]64[.]80[.]1	197[.]94[.]67[.]207	82[.]12[.]196[.]197
179[.]43[.]167[.]10	209[.]141[.]36[.]116	89[.]108[.]65[.]136
181[.]141[.]3[.]126	23[.]111[.]114[.]52	94[.]232[.]41[.]105
181[.]164[.]194[.]228	41[.]100[.]55[.]97	98[.]143[.]70[.]147
41[.]109[.]11[.]80	41[.]107[.]77[.]67	41[.]251[.]121[.]35

Domains
altocloudzone[.]live	myappearinc[.]com	sombrat[.]com
ciborkumari[.]xyz	parkerpublic[.]com	tumbleproperty[.]com
gororama[.]com	softeruplive[.]com

URLs
hxxps[:]//myappearinc[.]com/acquire/draft/c7lh0s5jv
hxxps[:]//pastebin[.]mozilla[.]org/Z54Vudf9/raw

SHA-1
41a79f83f8b00ac7a9dd06e1e225d64d95d29b1d
585b05b290d241a249af93b1896a9474128da969
65dc04f3f75deb3b287cca3138d9d0ec36b8bea0
a84ed0f3c46b01d66510ccc9b1fc1e07af005c60
c96154690f60a8e1f2271242e458029014ffe30a

SHA-256

08c6e20b1785d4ec4e3f9956931d992377963580b4b2c6579fd9930e08882b1c

19896a23d7b054625c2f6b1ee1551a0da68ad25cddbb24510a3b74578418e618

216047c048bf1dcbf031cf24bd5e0f263994a5df60b23089e393033d17257cb5

342b398647073159dfa8a7d36510171f731b760089a546e96fbb8a292791efee

4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7

4cd00234b18e04dcd745cc81bb928c8451f6601affb5fa45f20bb11bfb5383ce

74d81ef0be02899a177d7ff6374d699b634c70275b3292dbc67e577b5f6a3f3c

82f1f72f4b1bfd7cc8afbe6d170686b1066049bc7e5863b51aa15ccc5c841f58

8a983042278bc5897dbcdd54d1d7e3143f8b7ead553b5a4713e30deffda16375

8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451

b8c4aec31c134adbdbe8aad65d2bcb21cfe62d299696a23add9aa1de082c6e20

be030e685536eb38ba1fec1c90e90a4165f6641c8dc39291db1d23f4ee9fa0b1

d47d4b52e75e8cf3b11ea171163a66c06d1792227c1cf7ca49d7df60804a1681

f8cff7082a936912baf2124d42ed82403c75c87cb160553a7df862f8d81809ee

Onion Links
hxxp[:]//royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid[.]onion
hxxp[:]//royal4ezp7xrbakkus3oofjw6gszrohpodmdnfbe5e4w3og5sm7vb3qd[.]onion

‍

المراجع

‍

الملحق

*موقع Onion الإلكتروني لمجموعة رويال رانسوم وير*

‍

فيكاس كوندو

A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.

هانسيكا ساكسينا

انضمت هانسيكا إلى فريق التحرير في CloudSek ككاتبة تقنية وهي طالبة بكالوريوس (مع مرتبة الشرف) في جامعة دلهي. كانت مرتبطة سابقًا بمؤسسة شباب الهند لمدة عام.