根据FBI和CISA在今年3月发布的通告,他们首次分享了一些皇家勒索软件的攻击迹象和防御策略,以帮助受害者检测和阻止这种勒索软件在他们的网络中的传播。这次联合发布通告的原因是,美国卫生与人类服务部(HHS)的安全团队在2022年12月揭示,这个勒索软件团伙曾经对美国的多家医疗机构发动过多次攻击。
通告中还提到,皇家勒索软件可能计划进行重新品牌化或者推出一个衍生变种,因为与皇家勒索软件具有相似编码特征的BlackSuit勒索软件已经出现。据BleepingComputer在今年6月的报道中称,皇家勒索软件团伙一直在测试一种新的BlackSuit加密工具,与其常用的加密工具相似。
虽然最初认为皇家勒索软件团伙会在今年5月进行重新品牌化,因为BlackSuit勒索软件团伙的出现,但事实并未如此。皇家勒索软件团伙仍然活跃,并且在有限的攻击中使用BlackSuit勒索软件来针对企业组织。
由于BlackSuit勒索软件是一个独立运作的团伙,皇家勒索软件团伙可能计划成立一个专门针对某些类型受害者的子团队。因为一旦两种加密工具之间的相似之处被发现,重新品牌化就不再有意义。
皇家勒索软件的攻击方式和对策
皇家勒索软件是一支由高技能威胁行为者组成的私人团队,他们以前曾与臭名昭著的Conti网络犯罪团伙合作。尽管这个团伙最早于2022年1月被发现,但他们的恶意活动自同年9月以来只增不减。虽然他们最初使用来自其他团伙的勒索软件加密工具,比如ALPHV/BlackCat,以避免引起注意,但他们后来转而使用自己的工具。
他们的第一个加密工具是Zeon,在重新品牌化后,加密的受害者会收到类似于Conti勒索软件生成的勒索信息。然而,他们后来转而使用了皇家加密工具,并在最近的攻击中升级到了能够加密Linux设备的版本,以攻击VMware ESXi虚拟机。
皇家团伙通常通过利用公共可访问设备的安全漏洞侵入目标网络,但他们也以回拨钓鱼攻击而闻名。在这种攻击中,当目标拨打伪装成订阅续订的电子邮件中嵌入的电话号码时,攻击者利用社会工程学手段诱骗受害者安装远程访问软件,从而获得对目标网络的访问权限。
皇家团伙的典型操作方式是加密目标企业系统,并要求支付高额赎金,每次攻击的赎金金额从25万美元到数千万美元不等。
在最新的通告中,FBI和CISA呼吁企业和组织采取以下对策来防范皇家勒索软件的攻击:
及时更新和修补系统,以确保安全漏洞得到修复。
加强员工的网络安全意识培训,特别是针对钓鱼邮件的识别和防范。
实施多层次的安全措施,包括防火墙、入侵检测系统和终端安全解决方案等。
定期备份数据,并将备份数据存储在离线和安全的位置,以防止数据丢失和勒索。
总的来说,皇家勒索软件是一个非常具有威胁性的勒索软件团伙,他们的攻击范围广泛,并且要求的赎金金额巨大。为了保护自己的网络安全,企业和组织需要采取积极的防御措施,并密切关注FBI和CISA发布的最新通告和对策建议。