Manuel Statik Analiz — Royal Ransomware (Linux/ESXi) | Tehdit: KRITIK

Dosya Kimliği

SHA25609a79e5e20fa4f5aae610c8ce3fe9572b56c6576035ff7e0ec4c1d1438963b2
PlatformLinux ELF (VMware ESXi hypervisor hedefi!)
Boyut2.558.055 byte (2.5MB)
String Sayisi18.036

Tor .onion C2

http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/%s
-- Royal fidye ödeme / müzakere Tor portalı
-- "%s" = kurban ID parametresi (her kurban için benzersiz URL)

Çok Katmanlı Şifreleme

aesni_ccm64_decrypt_blocks  -- AES-NI (CPU hızlandırmalı AES)
aesni_ocb_decrypt           -- AES-OCB modu
SEED_decrypt                -- Kore SEED blok şifresi
CMS_EncryptedData_it        -- OpenSSL CMS formatı
-- 3 farklı şifreleme algoritması (AES+SEED+CMS) = çift güvence

Bitcoin Cüzdanları

1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7
37Qi9eCsNWYAnBUa6633o5zNm7SkgOLjS51
38nZlnqRHK7Uq...

Royal Ransomware Hakkında

Royal, 2022'de ortaya çıkan özel (affiliate olmayan) ransomware grubudur. Conti ekibinin eski üyelerinden oluştuğu değerlendirilmektedir. Hem Windows hem Linux/ESXi hedefler. Kripto çalma öncesi veri sızıntısı (double extortion) yapar. 2023'te "BlackSuit" olarak yeniden markalaşmıştır.

IOC

SHA25609a79e5e20fa4f5aae610c8ce3fe9572b56c6576035ff7e0ec4c1d1438963b2
Onion C2royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion
BTC1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7
BTC37Qi9eCsNWYAnBUa6633o5zNm7SkgOLjS51
PlatformLinux ELF (ESXi hedef)

RoyalRansom — Malware Profile

Royal/BlackSuit RaaS 2022. Linux ELF ESXi hedef. AES-NI+SEED. Tor .onion. Conti eski uyesi.

Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/Tor
Target Systems
Kuresel Kurumsal

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (2 indicators)

IOC — RoyalRansom
# DOMAIN royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion # MUTEX 1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7
TypeValueNote
domain royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion
mutex 1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7 BTC cüzdanı
Tags
royal-ransomwarelinux-elfesxi-targettor-onionaes-niseed-cipheropensslbtc