美国联邦调查局(FBI)与网络安全暨基础设施安全局(CISA)针对Royal勒索软件,发布联合安全报告,除了公开Royal勒索软件的行为以及动向之外,也提供企业避免感染的行动建议。
Royal勒索软件在2022年9月出现踪迹,与其他勒索软件运行不同,Royal勒索软件并非以勒索软件即服务的方式运行,而是由一群具经验的攻击者操作。FBI和CISA认为使用自订文件加密程序程序的Royal勒索软件,是之前Zeon加密程序的变体。
在Royal勒索软件获得受害者系统访问权限后,该勒索软件便会停用杀毒软件,并且开始窃取大量资料,最后才会对系统进行加密。恶意攻击者通常要求受害者支付,价值100万到1,100万美元的比特币作为赎金。由于Royal勒索软件使用特别的部分加密技术,仅会选择加密文件特定比例的资料,如此便能降低大型文件加密的比例来规避侦测。
Royal勒索软件锁定许多重要基础设施部门,包括制造、通信、医疗保健和教育单位等,除了加密文件之外,恶意攻击者也采用双重勒索策略,只要受害者不支付赎金,便会威胁公开加密资料。
根据第三方报告,Royal勒索软件主要的传播方式是通过网络钓鱼,有66.7%事件由恶意攻击者发送包含恶意PDF文件或是恶意广告的电子邮件,诱骗受害者点击以取得一开始的系统访问权限。FBI和CISA还提到,远程桌面协议(RDP)也是常见的Royal勒索软件传播方式之一,有13.3%的案例恶意攻击者是通过RDP入侵。攻击者也会通过存在漏洞的开放应用程序,又或是窃取用户日志以收集VPN凭证,来访问受害者系统。
FBI和CISA提供可以减轻勒索软件威胁的作为,提醒企业应该优先解决已知的漏洞,并且训练用户识别和回应网络钓鱼,同时强制激活多因素身份验证。