勒索软件即服务 (RaaS) 是一种业务模式,在这种模式下,勒索软件操纵者将其恶意软件“租赁”给其他黑客,并从勒索赎金中抽取分成。即便这些“关联攻击者”缺乏发起勒索软件攻击所需的专业知识和经验,他们仍然可以对受害者发起复杂攻击。
Royal 勒索软件是一种复杂的恶意软件,它可以对受害者 IT 环境中的文件进行加密,使用户无法访问这些文件。发起 Royal 勒索软件攻击的网络犯罪分子随后会以用于恢复文件访问权限的解密密钥相要挟,向受害者索要赎金。
除了会对文件进行加密之外,Royal 勒索软件还能够发现并泄露高价值数据和敏感信息。这种手段让攻击者可以对受害者进行二次勒索,如果受害者不支付赎金,他们就会威胁在泄密网站上公开被盗数据。索要的赎金通常从 25 万美元到超过 200 万美元不等。
与其他通常以勒索软件即服务 (RaaS) 业务模式将其恶意软件租赁给关联攻击者的高知名度勒索软件团伙不同,Royal 勒索软件团伙似乎对其代码进行了严格控制。网络安全专家认为,该团伙经验丰富,能够迅速适应新的手段。Royal 勒索软件团伙最初以 Microsoft Windows 环境为目标,但现在已开发出基于 Linux 的变体(包括专门攻击 ESXi 服务器的代码),可对企业数据中心和虚拟化存储造成重大影响。
显示在受害者计算机屏幕上的 Royal 勒索软件通知的示例。
Royal 勒索软件发展史
分析人员认为,Royal 勒索软件最初出现于 2022 年 1 月,并在当年下半年相当活跃。2022 年底,Royal 与 LockBit 和 BlackCat 并列成为超级猖獗的勒索软件团伙。据信,Royal 勒索软件团伙是一个讲俄语的团伙,他们使用先进的技术进行入侵和数据泄露。Trend Micro 及其他安全公司的分析人员认为,Royal 勒索软件是重新包装后的 Zeon 勒索软件。Royal 勒索软件还与其他形式的勒索软件存在诸多相似之处。例如,Royal 最初使用 BlackCat 勒索软件中的加密程序,而后期投放的赎金通知与 Conti 勒索软件类似。因此,研究人员怀疑该团伙主要由 Conti 勒索软件团伙的前成员组成,而后者之前与 Ryuk 勒索软件存在关联。这表明,勒索软件操纵者在实施复杂的网络攻击方面拥有多年经验。截至 2023 年底,有关当局怀疑 Royal 勒索软件团伙可能已更名为 BlackSuit 勒索软件团伙,因为这两个团伙使用相似的代码和方法。Royal 勒索软件团伙已对多个关键基础设施行业发起攻击,包括化工、通信、制造业、水坝系统、国防工业、金融服务、医疗保健、废弃物处理、核能及应急服务。截至 2023 年 11 月,Royal 团伙在全球范围内攻击过的已知受害者超过 350 名,勒索赎金总额超过 2.75 亿美元。
Royal 勒索软件的传播
发起 Royal 网络攻击的攻击者通常使用网络钓鱼和鱼叉式网络钓鱼电子邮件以及回拨式网络钓鱼诈骗来传播勒索软件。回拨式网络钓鱼诈骗会诱骗用户安装远程访问恶意软件,从而使勒索软件团伙能够轻松入侵用户机器。其他攻击媒介和初始访问手段包括:
- 在 Batloader 和 IcedID 等恶意软件威胁中嵌入 Royal 代码
- 利用木马——已成为恶意软件攻击手段的合法软件,通过仿冒网站提供下载
- 滥用远程桌面协议 (RDP) 应用程序
- 利用面向 Web 的资产中的漏洞
- 滥用企业网站的联系表单来传播恶意链接
- 通过 Google Ads 进行恶意广告投放
Royal 勒索软件的运作方式
在 Royal 勒索软件成功感染受害者的 IT 环境后,勒索软件操纵者会使用多种手段、技术和程序 (TTP) 来最大限度地扩大攻击影响。
规避防御措施。为了规避防御措施,Royal 会使用 PCHunter 和 Process Hacker 等工具手动卸载受害者机器上的防病毒产品。
实施侦察。Royal 勒索软件使用 NetScan、PsExec 和 AdFind 等工具来收集受害者的 Active Directory 和互联系统的相关数据。Royal 操纵者还可能下载其他第二阶段攻击载荷。
提升权限。攻击者会利用横向移动从已感染的主机中收集凭据并入侵云服务帐户。
窃取数据。在侦察过程中发现高价值目标后,Royal 会使用 Cobalt Strike 等合法的渗透测试工具来窃取敏感数据。
阻止恢复。Royal 会在加密文件之前删除卷影副本,使受害者无法通过 Windows 系统还原功能恢复数据。
加密文件。Royal 使用以 C++ 编写的 64 位可执行程序(该程序用于加密 Microsoft Windows 系统上的文件)来加密文件。为了规避反勒索软件防御措施,Royal 会采用部分加密技术,以仅对文件内容的预先确定部分进行加密。Royal 还会使用多个线程来加速加密过程。加密后的文件标有文件扩展名“.royal”。
索要赎金。Royal 攻击者通常不会在初始赎金通知中注明赎金金额。而是在每个受影响的目录中放入一个 README.txt 文件,引导受害者通过基于 Tor 的门户与勒索软件团伙进行沟通。
抵御 Royal 勒索软件攻击
要阻止和检测 Royal 勒索软件攻击,IT 和安全团队必须采用多层抵御和防御措施。
微分段:对网络和各项资产进行严格划分可阻止攻击者在网络中横向移动,从而限制 Royal 勒索软件攻击可能造成的损害。
持续监控:IT 团队应监控最新的入侵指标,并针对 Cobalt Strike 和类似工具的激活以及任何防病毒软件的禁用配置告警。
Zero Trust 架构:Zero Trust 安全方法要求所有用户和设备在每次请求时进行身份验证并严格限制访问权限,因此采用此方法可抵御勒索软件攻击。
网络安全防御措施:要实现强大的网络安全态势,IT 团队可以部署防火墙、防病毒软件、反恶意软件技术、电子邮件过滤、应用程序允许列表以及其他由最新威胁情报提供信息的防御措施。
安全审计:定期审计和评估安全控制措施有助于识别并修复网络中的漏洞。
安全培训:对员工开展网络安全防护最佳实践培训,可帮助他们发现并避免网络钓鱼电子邮件和其他威胁。
备份:定期备份数据并将副本存储在离线存储介质中,可以使 IT 团队能够在遭受攻击时快速恢复数据。
身份和访问管理 (IAM):通过使用多重身份验证和高强度密码,可阻止勒索软件操纵者进行未经授权的访问。
端点安全性:端点检测和响应 (EDR) 解决方案可监控并限制可执行文件路径,从而最大限度地降低手机、笔记本电脑及 PC 等各个设备遭受勒索软件攻击的风险。
- 更新和补丁:要修复软件和操作系统中可能遭到攻击者利用的漏洞,IT 团队必须以理想的节奏安装更新和应用补丁。
删除 Royal 勒索软件
与很多其他形式的勒索软件一样,要根除 Royal 勒索软件,IT 团队需要按照精心设计的事件响应计划执行多项关键步骤。
隔离受感染的系统:应立即断开任何受感染的机器或驱动器与互联网、网络及任何其他系统的连接,以防止发生进一步感染。
联系专业人员:专门从事勒索软件清除的安全公司可在勒索软件攻击发生后提供专业支持。
确认感染情况:通过识别勒索软件的种类,IT 团队可以确定根除恶意代码的最佳方法,并寻找任何潜在的解密工具。
清除勒索软件:借助专用工具,IT 团队可以清理受影响的驱动器、删除漏洞利用工具包,以及修复攻击者可能用于重新安装勒索软件的任何漏洞。
恢复数据:随后,IT 团队可以利用干净的备份副本恢复文件。
联系执法机构:无论受害者是否支付了赎金,FBI 及网络安全和基础架构安全局 (CISA) 都会敦促所有受害者向当地执法机构报告勒索软件攻击事件。
双重勒索型勒索软件攻击本质上是勒索软件与数据泄露威胁相结合的攻击模式。攻击者在加密受害者的文件之前,会先将高价值数据及敏感信息转移至外部服务器,并威胁在受害者不支付赎金的情况下泄露这些数据。
Royal 勒索软件的 IOC 包括文件名中添加了 .royal 扩展名、检测到已知的恶意 IP 地址和域,以及在加密文件所在的目录中留下了 README.txt 赎金通知。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。众多全球企业信赖 Akamai,凭借我们行业领先的可靠性、扩展性和专业技术,企业能够从容拓展业务。