美国网络安全局对Royal勒索软件发出警告

美国网络安全和基础设施安全局 (CISA) 发布了一份关于Royal勒索软件的新公告,该勒索软件于去年出现在威胁领域。

CISA表示:“在获得对受害者网络的访问权限后,Royal的控制者会禁用防病毒软件并泄露大量数据,然后最终部署勒索软件并对系统进行加密。”

自2022年9月以来一直针对美国和国际组织的定制勒索软件程序被认为是从被称为Zeon的早期迭代演变而来的。

此外,网络安全公司趋势科技于2022年12月披露,据说它由曾经是Conti Team One成员的经验丰富的黑客操作。

勒索软件组织使用回调网络钓鱼作为向受害者提供勒索软件的一种手段,这种技术被犯罪集团广泛采用,该犯罪集团于去年关闭后从Conti企业中分裂出来。

其他初始访问模式包括远程桌面协议(RDP)、利用面向公众的应用程序以及通过初始访问代理(IAB)。

Royal提出的赎金要求从100万美元到1100万美元不等,攻击目标是各种关键行业,包括通信、教育、医疗保健和制造业。

CISA 指出:“Royal 勒索软件使用一种独特的部分加密方法,允许威胁行为者选择文件中特定百分比的数据进行加密。” “这种方法允许攻击者降低较大文件的加密百分比,这有助于逃避检测。”

网络安全机构表示,与Qakbot相关的多个命令和控制(C2)服务器已被用于Royal勒索软件入侵,尽管目前尚未确定该恶意软件是否完全依赖Qakbot基础设施。

入侵的另一个特点是使用Cobalt Strike和PsExec进行横向移动以及删除卷影副本以防止系统恢复。Cobalt Strike也被重新用于数据聚合和渗漏。

截至2023年2月,Royal勒索软件能够同时针对Windows和Linux环境。仅在2023年1月,它就与 19 起攻击有关,其威胁程度排在LockBit、ALPHV和Vice Society之后。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4602.html

标签