据美国联邦调查局称,皇家勒索软件团伙似乎正在准备开展一系列新活动,其中可能包括品牌重塑或分拆活动,因为自 2022 年 275 月首次活动以来,该团伙的赎金要求已超过 XNUMX 亿美元。当局。
联合咨询 FBI 和 CISA 周二表示,该勒索软件组织在没有附属机构的情况下运作,并无情地公布从受害者那里提取的数据。 快速发展.
这些机构表示,自成立仅一年内,该组织就已以任意方式针对全球 350 多名受害者(不针对特定地区或行业),索要 1 万至 12 万美元的赎金。迄今为止的受害者包括以下组织: 关键基础设施部门 包括制造、通信、教育和医疗保健;最后一次袭击引起了美国卫生与公众服务部 (HHS) 安全团队的注意。
皇家,许多研究人员认为它是从废墟中诞生的 现已解散的康迪集团,可能会再次重塑品牌 饰演 黑衣是另一款于年中出现的勒索软件,从一开始就表现出独特的复杂性。此举可能是由于联邦当局加强了审查,不仅是 HHS 的调查,而且还包括以下内容: 高调的攻击 官员们表示,五月在达拉斯市。
该咨询称:“皇家可能正在为品牌重塑工作和/或衍生产品做准备。” “Blacksuit 勒索软件具有许多与 Royal 类似的已识别编码特征。”
关于皇家勒索软件操作的新见解
总体而言,最近针对皇家的联邦指导——各机构三月份咨询的更新 - 为该集团的运营及其潜在的下一步行动提供了新的线索。
从成立之初,皇家就表现出了稳健和创新的精神,这可能源于其之前与康蒂的联系。该组织到达勒索软件现场时,使用各种方式部署勒索软件并逃避检测,以便在受害者有机会做出反应之前造成重大损害, 研究员说 该组织被发现后不久。
关于 Royal 的最新情报发现,该组织仍在继续采用其原有的部分加密和双重勒索策略。分析人士还表示,迄今为止,其危害受害者网络最成功的方式是网络钓鱼。据这些机构称,在 66.7% 的案例中,它通过网络钓鱼电子邮件获得了对网络的初步访问权限。
这些机构表示:“根据开源报告,受害者在收到包含恶意 PDF 文档和恶意广告的网络钓鱼电子邮件后,在不知不觉中安装了传播 Royal 勒索软件的恶意软件。”
13.3% 的受害者中第二常见的进入方式是通过远程桌面协议 (RDP),在某些情况下,Royal 利用面向公众的应用程序或杠杆经纪人,通过收集虚拟专用网络 (VPN) 凭证来获得初始访问权限和来源流量这些机构报告说,是从盗窃者日志中获取的。
一旦获得网络访问权限,该组织就会下载多种工具(包括合法的 Windows 软件和开源隧道工具 Chisel),以分别加强在网络中的立足点并与命令和控制 (C2) 进行通信。 Royal 还经常使用 RDP 在网络中横向移动,并利用 AnyDesk、LogMeIn 和 Atera 等远程监控和管理 (RMM) 软件来实现持久性。
部分加密的演变
Royal 使用的独特部分加密方法 自成立以来,勒索软件的最新变体使用其自己定制的文件加密程序,一直是其运营的一个关键方面。 Royal 复杂的部分加密允许威胁行为者选择文件中特定百分比的数据进行加密,从而降低较大文件的加密百分比并帮助该组织逃避检测。
该组织还继续实施双重勒索,在加密之前泄露数据,然后威胁如果不满足其赎金要求,将公开发布加密的受害者数据。
该咨询称:“在进入受害者的网络后,皇家攻击者会禁用防病毒软件并窃取大量数据,然后最终部署勒索软件并加密系统。”
这些机构发现,为了实现这种渗透,该组织重新利用了 Cobalt Strike 等合法网络渗透测试工具以及 Ursnif/Gozi 等恶意软件工具和衍生品来进行数据聚合和渗透,最初将数据发送到美国 IP 地址。
避免“皇家待遇”
联邦通报包括与 Royal 勒索软件攻击相关的文件、程序和 IP 地址列表。
为了避免受到 Royal 或其他勒索软件团体的攻击,FBI 和 CISA 建议组织优先修复已知的被利用漏洞,以使攻击者更难利用其网络中的现有缺陷。
鉴于皇家最成功的切入点是通过网络钓鱼,联邦调查局还建议员工进行培训,以发现和报告网络钓鱼诈骗,以避免成为其中的受害者。这些机构表示,跨系统启用和执行多因素身份验证也是一种重要的防御策略。
- :具有
- :是
- :不是
- 1 百万美元
- $UP
- 1
- 13
- 2022
- 66
- 7
- a
- ACCESS
- 根据
- 横过
- 活动
- 演员
- 地址
- 地址
- advisory
- 分支机构
- 后
- 再次
- 机构
- 聚合
- 允许
- 已经
- 还
- 其中
- 量
- an
- 分析师
- 和
- 另一个
- 杀毒软件
- 出现
- 应用领域
- 的途径
- 武装的
- 抵达
- AS
- 方面
- 相关
- 攻击
- 关注我们
- 认证
- 当局
- 避免
- BE
- before
- 相信
- 之间
- 经纪人
- 但是
- by
- 来了
- CAN
- 例
- 机会
- 特点
- 城市
- 钴
- 编码
- 相当常见
- 通信
- 通信
- 折中
- 孔蒂
- 继续
- 继续
- 资历
- 网络
- 达拉斯
- 损伤
- data
- 日期
- 国防
- 提供
- 严格
- 需求
- 证明
- 问题类型
- 部署
- 部署
- 衍生工具
- 通过电脑捐款
- 检测
- do
- 文件
- 翻番
- 下载
- 两
- 教育
- 努力
- 电子邮件
- 出现
- 员工
- 使
- 加密
- 加密
- 强制执行
- 条目
- 必要
- 超过
- 突破
- 渗出
- 现有
- 利用
- 剥削
- 敲诈
- 提取物
- 落下
- 远
- 快速移动
- 联邦调查局
- 联邦
- 联邦调查局
- 文件
- 档
- 发现
- 缺陷
- 以下
- 针对
- 发现
- 止
- Gain增益
- 获得
- 获得
- 刚
- 传动装置
- 团队
- 组的
- 指导
- 更难
- 野生捕捞
- 有
- 健康管理
- 医疗保健
- 帮助
- 高调
- HTTPS
- 人
- 确定
- if
- in
- 成立
- 包括
- 包括
- 包含
- 增加
- 表示
- 行业
- 基础设施
- 初始
- 原来
- 創新
- 可行的洞见
- 安装
- 房源搜索
- 调查
- IP
- IP地址
- IP地址
- IT
- 它的
- 本身
- 联合
- JPG
- 只是
- 键
- 已知
- 大
- 大
- (姓氏)
- 最新
- 合法
- 杠杆
- 光
- 容易
- 清单
- 一蹴即至
- 使
- 恶意软件
- 颠覆性技术
- 制造业
- 许多
- 三月
- 可能..
- 一半
- 百万
- 时尚
- 监控
- 更多
- 最先进的
- 移动
- 移动
- 多因素身份验证
- 多
- 网络
- 网络
- 全新
- 下页
- 数
- of
- 官员
- 海面
- 经常
- on
- 仅由
- 打开
- 开放源码
- 运营
- 运营
- or
- 组织
- 原版的
- 其他名称
- 己
- 渗透
- 百分比
- 坚持
- 钓鱼
- 网络钓鱼诈骗
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 潜力
- 可能
- 在练习上
- 准备
- 以前
- 先
- 优先
- 私立
- 曲目
- 训练课程
- 协议
- 公然
- 发布
- 赎金
- 勒索
- 勒索软件攻击
- 更名
- 接收
- 最近
- 建议
- 地区
- 释放
- 远程
- 报告
- 报道
- 报告
- 研究人员
- 分别
- 回应
- 皇族
- s
- 说
- 诈骗
- 现场
- 审查
- 其次
- 保安
- 发送
- 九月
- 特色服务
- 集
- 分享
- 显示
- 显著
- 类似
- 自
- So
- 软件
- 一些
- 或很快需要,
- 极致
- 极致
- 来源
- 具体的
- Spot
- 加强
- 罢工
- 成功
- 这样
- 产品
- 策略
- 丝锥
- 针对
- 瞄准
- 团队
- 测试
- 比
- 这
- 其
- 他们
- 然后
- Free Introduction
- 威胁
- 通过
- 从而
- 至
- 工具
- 工具
- 交通
- 产品培训
- 治疗
- 周二
- 最终
- 独特
- 更新
- us
- 美国联邦
- 使用
- 运用
- 变种
- 多变
- 通过
- 受害者
- 受害者
- 在线会议
- VPN
- 漏洞
- 是
- 方法..
- 方法
- 井
- 这
- 窗户
- 也完全不需要
- 全世界
- 年
- 和风网