皇家勒索软件

皇家勒索软件是一种高度复杂且快速进化的恶意软件，最早出现在 2022 年初。2022 年，"皇家 "通过大肆狩猎漏洞而获利颇丰，因此跻身本年度最多产、最具威胁性的勒索软件活动之列。仅在 2022 年 11 月，Dev-0569--操作 Royal 的勒索软件团伙--就新增了 43 名受害者，每次入侵索要 25 万至 200 万美元不等。Dev-0569 的企业受害者包括英国最受欢迎的赛车场 Silverstone Circuit、德克萨斯州政府实体 Travis Central Appraisal District，以及一家被勒索 6000 万美元赎金的未具名大型美国电信公司。 

Dev-0569 是一个由精英威胁行动者组成的私人团体，主要通过勒索大型企业受害者来谋取经济利益。对 "皇家 "攻击模式的分析将其与其他顶级勒索软件团伙Conti和 Ryuk 进行了比较，表明 "皇家 "的操作者已经从其他网络犯罪活动中分离出来。Dev-0569 并没有将 "皇家 "作为 "勒索软件即服务"（RaaS）来销售，而是从地下 "初始接入代理"（IAB）处购买企业网络的直接接入权，并在内部管理攻击活动。Dev-0569 还经常采用双重勒索策略--除了要求解密受感染文件的赎金外，还威胁受害者删除被盗数据，并将其公之于众。 

皇家勒索软件操作员会与 IAB 协作以获得初始访问权限，这意味着皇家攻击可能会从一系列众所周知的第一阶段策略和有效载荷开始。皇家攻击包括滥用商业网站联系表单来传播恶意链接，用托管在看似真实的下载网站上的木马化恶意软件文件诱骗受害者，以及利用谷歌广告进行恶意宣传。 

皇家攻击中使用的另一种标志性技术是利用虚假的软件试用过期提醒，吓唬受害者拨打由威胁行为者操作的客户服务电话，诱骗受害者直接安装恶意软件。由于网站联系表单信息通常是通过公司的电子邮件地址发送的，因此在垃圾邮件过滤器看来是可信的，因此攻击者可以利用公司的联系表单绕过基本的垃圾邮件过滤器。 

一旦皇家勒索软件操作员在目标网络上站稳脚跟，他们就会采用各种先进的利用策略和技术，包括

• 在受害者系统上安装用于指挥和控制 (C2) 的 Cobalt Strike 笔测试工具包
• 部署开源工具 Nsudo、PowerShell 脚本（.ps1）和批脚本（.bat）以禁用端点杀毒产品
• 从受感染主机获取凭证，用于网络横向移动和入侵云服务账户
• 从具有合法 TLS 证书的域导入签名二进制文件和加密恶意软件有效载荷，以避免触发内容过滤器警报
• 在受害者系统中安装其他已知的恶意软件，例如QakBot、Gozi 和 Vidar
• 与其他复杂的勒索软件类似，Royal 会删除提供文件时间点备份的 "影子副本"。
• 使用签名的 MSI 或 VHD 文件下载额外的第二阶段有效载荷，如 "BATLOADER "恶意软件

皇家最后阶段加密模块是一个用 C++ 编写的 64 位可执行文件，专为在 Windows 系统上执行而设计。Royal 加密模块最初借用了 BlackCat 勒索软件的加密模块，但在 2022 年 9 月，Royal 开始使用一种名为 "Zeon "的新型加密模块。Zeon 是一个高度多线程的进程，它可以查询目标的 CPU 核心数，并产生两倍数量的线程，以尽快加密受害者的文件

有效防止皇家勒索软件攻击成功的防御策略与用于防止其他恶意软件（例如：勒索软件）的策略类似：

• 考虑开展用户意识培训，让员工了解网络钓鱼技术，并制定处理可疑电子邮件和文件的标准操作程序 (SOP)。
• 配置电子邮件客户端，以便在电子邮件来自组织外部时通知用户
• 只从合法渠道获取软件，如移动设备的内置应用商店或软件供应商的网站
• 实施可靠的备份策略，提供保护完好的离线备份，并实践灾难恢复程序，以确保实现平均恢复时间 (MTTR) 目标
• 定期对所有网络基础设施进行漏洞扫描和渗透测试，并尽快修复发现的任何漏洞
• 确保 Office 应用程序的配置为 "禁用所有宏而不发出通知 "或"禁用除数字签名宏之外的所有宏"。 
• 要求所有远程访问服务使用高强度密码和多因素身份验证 (MFA)，并确保更改所有默认密码 
• 划分关键网络并添加网络入侵检测和防御系统 (IDPS)，以监控网络活动的异常行为 
• 安装和配置端点安全产品，在加密文档解密后立即对其进行扫描 
• 尽可能实施零信任解决方案，优先考虑关键系统