自2022年9月以来,Royal勒索软件组织在网络犯罪领域的地位不断上升,美国联邦机构透露,该团伙已向超过350个受害者索回超过275亿美元。这些新数据包含在11月13日的更新中,该更新揭示了有关该组织的网络安全建议。该建议最初由联邦调查局FBI和网络安全与基础设施安全局CISA于3月发布。
在最新的建议中,机构指出了Royal可能准备重新品牌或分裂成两个威胁组的迹象,并提到其与另一个勒索软件组织BlackSuit的明显联系。
据认为,Royal团伙主要由前Conti勒索软件组织的成员构成,而Conti在去年中期已经解散。
Royal今年的攻击中,包括从达拉斯市外泄超过1100TB的数据,涉及超过3万人的信息。“Royal在加密之前进行数据外泄和敲诈,若未支付赎金则将受害者的数据发布在泄露网站上,”CISA及FBI表示,并补充道该组织获取初始访问的成功途径之一是钓鱼邮件。
根据Coalition报告,Royal在2023年上半年成为三大最活跃的勒索软件团伙之一,另两个分别是BlackCat和LockBit。
更新的联合建议提到,Royal团伙可能会重新品牌或创造一种新的衍生变种,同时指出BlackSuit勒索软件与Royal有很多已识别的编码特征相似。
研究人员,包括趋势科技,曾对这两个组织之间的联系进行推测。BlackSuit在今年5月首次被观察到。
“BlackSuit勒索软件的出现与Royal的相似性表明,它可能是相同作者开发的新变种,或是使用相似代码的模仿者,亦或者是Royal勒索软件团伙的一个附属组织,通过对原始系列进行修改而形成的。”趋势科技的研究人员在5月的研究报告中表示。
报告继续指出,“BlackSuit创建的一个可能原因是,由于Royal及其前身Conti背后的威胁行为者是如今最活跃的勒索软件团伙之一,这可能导致其它网络犯罪分子对其注意力增加,进而激发他们开发出类似的勒索软件BlackSuit。另一种可能性是BlackSuit从原Royal勒索软件团伙的一个分裂组中产生。”
CISA和FBI表示,这两个团伙在进行勒索软件操作时,观察到它们使用了合法软件和开源工具,包括如Chisel和Cloudflared的网络隧道工具,以及用于建立SSH连接的Secure Shell (SSH) Client、OpenSSH和MobaXterm。
“在受害者系统中还发现了公众可用的凭证盗窃工具Mimikatz和Nirsoft的密码收集工具,”这些机构表示。
“合法的远程访问工具AnyDesk、LogMein和Atera Agent也被观察到作为后门访问向量。”
这份建议还包含了详细的防范勒索软件攻击的建议,并附上与Royal勒索软件团伙相关的最新迹象清单。
推特专用加速器
