美国卫生与公共服务部(HHS)发出警告,名为Royal的勒索软件组织正在对美国的医疗保健系统发起攻击。该机构的卫生部门网络安全协调中心(HC3)表示:“虽然大多数知名的勒索软件运营商都提供勒索软件服务,但Royal似乎是一个私人团体,没有任何经济目的。目前,该组织声称窃取数据以进行双重勒索攻击,他们还泄露敏感数据。根据FortinetFortiGuardLabs的说法,Royal勒索软件至少从2022年开始活跃。该恶意软件是C++编写的64位Windows可执行文件,可通过命令行启动,这也表明它需要人工干预进入目标环境后触发感染。Royal除了删除系统中的卷影副本外,还利用OpenSSL加密库对文件进行AES标准加密,并在文件后缀后附加“.royal”。上个月微软透露,它正在跟踪一个名为DEV-0569的组织,该组织已被观察到通过各种方法部署勒索软件。这包括通过恶意广告、fake论坛页面、博客评论,或通过网络钓鱼电子邮件向受害者传递恶意链接,导致合法应用程序(如MicrosoftTeams或Zoom)安装流氓程序文件。据了解,这些文件中包含一个名为BATLOADER的文件,恶意软件下载器随后被用来传送Gozi、Vidar、BumbleBee等各种有效载荷,此外还滥用Syncro等远程管理工具安装CobaltStrike,用于后续的勒索软件部署。这个勒索团伙虽然今年才出现,但据了解该团伙由其他组织经验丰富的攻击者组成,可见其攻击方式在不断演变。当前针对医疗保健系统的皇家勒索软件攻击主要集中在美国,赎金要求从25万美元到200万美元不等。参考来源:https://thehackernews.com/2022/12/royal-ransomware-threat-takes-aim-at-us.html
