新Royal的勒索软件正在攻击数百万美元的目标-VPS资讯_海外云服务器资讯_海外服务器资讯

红国王棋子，棋子落在它周围

一个名为 Royal 的勒索软件操作正在迅速增加，目标是勒索要求从 250,000 美元到超过 200 万美元不等的公司。

Royal 是一项于 2022 年 1 月启动的行动，由一群来自先前行动的经过审查和经验丰富的勒索软件参与者组成。

与大多数活跃的勒索软件运营不同，Royal 并非作为勒索软件即服务运营，而是一个没有附属机构的私人团体。

AdvIntel 首席执行官 Vitali Kremez 告诉news.zzqidc.com，他们在首次启动时使用了其他勒索软件操作的加密器，例如 BlackCat。

不久之后，网络犯罪企业开始使用自己的加密器，第一个是 Zeon [ Sample ]，它生成的赎金记录与 Conti 的非常相似。

然而，自 2022 年 9 月中旬以来，该勒索软件团伙再次更名为“Royal”，并在新加密器生成的赎金票据中使用该名称。

皇家如何侵犯他们的受害者

皇家行动一直在暗中运作，没有使用数据泄露站点，也没有对他们的袭击消息保持沉默。

然而，随着该团伙本月变得更加活跃，受害者已经出现在news.zzqidc.com上，并且样本被上传到了 VirusTotal。

在与 Kremez 和一名受害者的对话中，news.zzqidc.com更好地了解了该团伙的运作方式。

根据 Kremez 的说法，Royal 集团利用有针对性的回调网络钓鱼攻击，他们在假装订阅续订的电子邮件中冒充送餐和软件提供商。

这些网络钓鱼电子邮件包含受害者可以联系以取消所谓的订阅的电话号码，但实际上，它是威胁参与者雇用的服务的号码。

当受害者拨打该号码时，威胁行为者使用社会工程学来说服受害者安装远程访问软件，该软件用于获得对公司网络的初始访问权限。

一位与news.zzqidc.com交谈的皇家受害者分享说，威胁行为者使用他们自定义 Web 应用程序中的漏洞破坏了他们的网络，这表明威胁行为者在如何访问网络方面也很有创意。

一旦他们获得对网络的访问权，他们就会执行其他人为勒索软件操作通常使用的相同活动。他们部署 Cobalt Strike 以实现持久性、获取凭据、在 Windows 域中横向传播、窃取数据并最终加密设备。

加密文件时，Royal 加密器会将.royal扩展名附加到加密文件的文件名中。例如，test.jpg 将被加密并重命名为 test.jpg.royal，如下所示。

一名皇家受害者还告诉news.zzqidc.com，他们通过直接加密虚拟磁盘文件 (VMDK) 来瞄准虚拟机。然后，威胁参与者在网络打印机上打印出赎金记录，或在加密的 Windows 设备上创建它们。

这些赎金票据被命名为README.TXT，并包含一个指向受害者私人 Tor 协商页面的链接，地址为 royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion。下面赎金记录中的 XXX 已被编辑，但对受害者来说是独一无二的。

Tor 协商网站并没有什么特别之处，只是包含一个聊天屏幕，受害者可以在其中与 Royal 勒索软件运营商进行交流。

作为这些谈判的一部分，勒索软件团伙将提供赎金要求，赎金要求在 25 万美元到 200 万美元之间。

勒索软件团伙通常还会为受害者解密一些文件，以证明他们的解密器工作并共享被盗数据的文件列表。

news.zzqidc.com不知道付款成功，也没有看到这个勒索软件系列的解密器。

虽然该组织声称窃取数据以进行双重勒索攻击，但目前似乎还没有以 Royal 品牌启动数据泄露站点。

但是，强烈建议网络、Windows 和安全管理员密切关注这一群体，因为他们正在迅速增加操作，并可能成为更重要的以企业为目标的勒索软件操作之一。

22 年 8 月 29 日更新：文章更新了一些更正，包括发布日期和回调网络钓鱼