FBI 和 CISA 在联合通报中透露,自 2022 年 9 月以来,Royal 勒索软件团伙已侵入全球至少 350 个组织的网络,涉及2.75亿美金。
“Royal 在加密之前进行数据泄露和勒索,然后在不支付赎金的情况下将受害者数据发布到泄露网站。网络钓鱼电子邮件是 Royal 威胁行为者初始访问的最成功的媒介之一。”
皇家到黑西装?
该通报更新还指出,Royal 可能会计划一项品牌重塑计划和/或衍生变体,其中 BlackSuit 勒索软件表现出与 Royal 共享的多个编码特征。
BleepingComputer 6 月份报道称,皇家勒索软件团伙一直在测试一种新的 BlackSuit 加密器,该加密器与该组织常用的加密器有许多相似之处。
虽然人们相信自 5 月份 BlackSuit 勒索软件操作浮出水面以来,Royal 勒索软件操作将会重新命名,但这从未发生过。Royal 仍在积极针对使用 BlackSuit 的企业组织进行有限的攻击。
由于 BlackSuit 是一个独立的组织,Royal 可能计划成立一个专注于某些类型受害者的小组,因为一旦发现两个加密器之间存在相似之处,品牌重塑就不再有意义。
RedSense 合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer:“我相信我们很快就会看到更多类似 Blacksuit 的东西。但到目前为止,新的装载机和新的 Blacksuit 储物柜似乎都是一次失败的实验。”
Conti 网络犯罪团伙链接
Royal Ransomware 是由高素质威胁参与者组成的私人组织,这些威胁参与者因曾与臭名昭著的 Conti 网络犯罪团伙合作而闻名。
尽管首次被发现是在 2022 年 1 月,但自同年 9 月以来,它们的恶意活动强度只增不减。
虽然他们最初使用来自 ALPHV/BlackCat 等其他组织的勒索软件加密器,可能是为了避免引起注意,但该团伙后来转向部署自己的工具。
虽然他们的第一个加密器 Zeon 发出的勒索字条让人想起 Conti 生成的勒索字条,但他们在 2022 年 9 月中旬进行品牌重塑后转而使用 Royal 加密器。最近,该恶意软件已升级为在针对 VMware ESXi 的攻击中加密Linux设备虚拟机。
尽管皇家运营商通常通过利用可公开访问的设备中的安全漏洞来渗透目标网络,但皇家运营商也因回调网络钓鱼攻击而闻名。
在这些攻击过程中,当目标拨打嵌入在电子邮件中的电话号码(巧妙地伪装成订阅续订)时,攻击者会利用社会工程策略诱骗受害者安装远程访问软件,从而授予他们对目标网络的访问权限。
Royal 运营商的作案手法包括对目标企业系统进行加密,并要求每次攻击支付 25 万美元到数千万美元不等的巨额赎金。
发表评论
您还未登录,请先登录。
登录