Royal 勒索病毒网络攻击警示

关键要点

• 教育、通信、医疗和制造等关键基础设施部门应加强防御，针对 Royal 勒索病毒的频繁网络攻击。
• 美国网络安全和基础设施安全局（CISA）发布了关于 Royal 勒索病毒的新警报，提供了最新战术和防御措施。
• 医疗行业正受到特定攻击，勒索金额最高达到 200 万美元。
• 网络防御者应优先修补已知漏洞，强化员工针对钓鱼攻击的培训，并尽可能执行多因素认证。

随着 Royal勒索病毒网络攻击的持续蔓延，教育、通信、医疗和制造等关键基础设施部门被敦促提升防御。最近，美国网络安全和基础设施安全局（CISA）发布的警报详细说明了该团伙的最新战术和建议的防御措施，旨在降低被攻击的风险。

根据 CISA 的情报，这些战术包括 FBI 在一月观察到的 Royal勒索病毒的最新动向。此外，早前卫生与公共服务部也发布了警告，指出该团伙的攻击高度针对医疗领域，特别是在过去三个月中，攻击和勒索金额大幅增加，最高可达 200万美元。

Royal 勒索病毒攻击者并不在最初的勒索信中提及勒索金额，而是要求受害者通过 .onion URL进行互动。网络防御人员应优先修复已知且被利用的漏洞，加强员工关于钓鱼攻击的培训，并在可能的情况下执行多因素认证。

最新战术与技术

最近的研究指出，Royal 勒索病毒使用了一种高度定制的文件加密程序，看来此程序是从早期依赖 Zeon 作为加载程序的交互中演变而来。Trend Micro的研究表明，Royal 很可能是对 Zeon 的重新品牌化，后者曾与 Conti Team 一同关联。以上这些团伙及其变种都高度针对关键基础设施实体。

Royal的攻击手法与其他勒索病毒相似。在成功进入网络后，攻击者会禁用防病毒软件，并在部署勒索病毒之前提取大量数据。数据提取是通过“重新利用合法的网络测试工具，如 Cobalt Strike，以及恶意软件工具和衍生物，如 Ursnif/Gozi”完成的。

主要访问方式包括带有恶意 PDF文档的钓鱼邮件，约占大多数攻击。其次是远程桌面协议（RDP）被攻破，后面还有利用公开面对的应用程序，并通过经纪人获取初始访问权限以及窃取虚拟专用网络（VPN）凭据的流量。

一旦获得访问权限，Royal 成员会使用合法的 Windows软件来巩固他们在网络上的控制。研究人员还观察到该团伙利用开源项目来协助入侵活动，包括用于隧道的 Chisel 工具。

FBI 也观察到在 Royal 攻击中使用了多个 Qakbot C2。然而，官员并没有确定该团伙是否仅使用 Qakbot C2。

横向移动和加密策略

Royal 在网络中进行横向移动，有时依赖 PsExec 进行支持。FBI 还发现在该团伙使用远程监控和管理（RMM）软件，如 AnyDesk 或 LogMeIn，以在受害者的网络上保持持久性。

研究人员观察到该团伙有时通过合法的管理员帐户远程登录到域控制器，并在一个例子中，他们通过修改组策略对象禁用了防病毒协议。

Royal 战术的独特之处在于其部分加密方法，允许攻击者选择文件中要加密的特定数据百分比，以躲避检测。CISA 及研究人员还观察到该团伙使用双重勒索策略。

该团伙还被观察到删除影像副本，以防止系统恢复。

FBI 和 CISA 鼓励关键基础设施实体采取推荐的缓解措施，这些措施在行业警报中进行了详细说明，以降低 Royal勒索病毒及其他类似威胁的可能性和影响。该警报还包含已知的妥协性指标列表。