Manuel Statik Analiz — Royal Ransomware (Linux/ESXi) | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 09a79e5e20fa4f5aae610c8ce3fe9572b56c6576035ff7e0ec4c1d1438963b2 |
|---|---|
| Platform | Linux ELF (VMware ESXi hypervisor hedefi!) |
| Boyut | 2.558.055 byte (2.5MB) |
| String Sayisi | 18.036 |
Tor .onion C2
http://royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion/%s -- Royal fidye ödeme / müzakere Tor portalı -- "%s" = kurban ID parametresi (her kurban için benzersiz URL)
Çok Katmanlı Şifreleme
aesni_ccm64_decrypt_blocks -- AES-NI (CPU hızlandırmalı AES) aesni_ocb_decrypt -- AES-OCB modu SEED_decrypt -- Kore SEED blok şifresi CMS_EncryptedData_it -- OpenSSL CMS formatı -- 3 farklı şifreleme algoritması (AES+SEED+CMS) = çift güvence
Bitcoin Cüzdanları
1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7 37Qi9eCsNWYAnBUa6633o5zNm7SkgOLjS51 38nZlnqRHK7Uq...
Royal Ransomware Hakkında
Royal, 2022'de ortaya çıkan özel (affiliate olmayan) ransomware grubudur. Conti ekibinin eski üyelerinden oluştuğu değerlendirilmektedir. Hem Windows hem Linux/ESXi hedefler. Kripto çalma öncesi veri sızıntısı (double extortion) yapar. 2023'te "BlackSuit" olarak yeniden markalaşmıştır.
IOC
| SHA256 | 09a79e5e20fa4f5aae610c8ce3fe9572b56c6576035ff7e0ec4c1d1438963b2 |
|---|---|
| Onion C2 | royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion |
| BTC | 1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7 |
| BTC | 37Qi9eCsNWYAnBUa6633o5zNm7SkgOLjS51 |
| Platform | Linux ELF (ESXi hedef) |
RoyalRansom — Malware Profile
Royal/BlackSuit RaaS 2022. Linux ELF ESXi hedef. AES-NI+SEED. Tor .onion. Conti eski uyesi.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/Tor
Target Systems
Kuresel Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (2 indicators)
IOC — RoyalRansom
# DOMAIN
royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion
# MUTEX
1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7
| Type | Value | Note |
|---|---|---|
| domain | royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion | |
| mutex | 1qwDEqSftwP6X5LsFxu4Uvzy83jSF3zJQS7 | BTC cüzdanı |