美国政府正在对皇家勒索软件行动敲响警钟,称该行动已针对美国各地的众多关键基础设施部门。
在周四发布的一份联合报告中,FBI 和美国网络安全机构 CISA 表示,Royal 勒索软件已在美国和国际上造成多名受害者,包括制造、通信、教育和医疗保健组织。
该警告是在美国卫生与公共服务部于 12 月警告说皇家勒索软件“积极”针对美国医疗保健行业之后发出的。 Royal 的暗网泄密网站目前将 Northwest Michigan Health Services 和 Midwest Orthopedic Consultants 列为受害者。
Royal 勒索软件团伙于 2022 年初首次被发现。当时,该行动依赖第三方勒索软件,如 Zeon,但自 9 月以来在攻击中部署了自己的定制勒索软件。
美国政府警告说,在获得对受害者网络的访问权限后——通常是通过包含恶意软件下载程序的网络钓鱼链接——皇家行为者在部署勒索软件和加密系统之前“禁用防病毒软件并泄露大量数据”。
安全专家认为,Royal 由以前行动中经验丰富的勒索软件参与者组成,并指出 Royal 和 Conti 之间的相似之处,Conti 是一个多产的与俄罗斯有联系的黑客组织,于 2022 年 6 月解散。
据报道,2022 年 11 月,Royal 勒索软件超过了 Lockbit,成为最多产的勒索软件活动。最近的数据显示,Royal 在 2 月份至少发起了 19 起勒索软件攻击,其中 51 起攻击归因于 LockBit,22 起攻击与Vice Society有关。
尽管 Royal 的大多数受害者都在美国,但其知名度较高的受害者之一是银石赛道,它是英国最大的赛车赛道之一。该团伙声称的其他受害者包括 ICS,这是一个为美国国防部、达拉斯学区和其他机构提供网络安全服务的组织。
根据美国政府的咨询,Royal 提出的赎金要求从 100 万美元到 1100 万美元不等,但目前尚不清楚该行动从受害者那里赚了多少钱。该咨询指出,皇家演员还采用双重勒索策略,如果受害者不支付赎金,他们就会威胁公开发布加密数据。
CISA 和 FBI 警告说:“在观察到的事件中,皇家演员没有将赎金金额和付款说明作为初始赎金票据的一部分。” “相反,加密后出现的注释要求受害者通过 .onion URL 直接与威胁行为者交互,”指的是 Royal 在暗网上的网站。
CISA 和 FBI 发布了已知的 Royal 勒索软件妥协指标以及操作策略、技术和程序,他们说最近在 2023 年 1 月通过 FBI 威胁响应活动确定了这些指标。这些机构已建议美国组织应用缓解措施和报告任何勒索软件事件。该咨询指出,CISA 和 FBI不鼓励支付赎金要求。
美国政府警告皇家勒索软件正以关键基础设施为目标作者: Carly Page最初发表于TechCrunch
原文: https://techcrunch.com/2023/03/03/us-government-royal-ransomware-advisory/