皇家勒索软件针对高调目标
一个相对较新的勒索软件威胁参与者正在采取重大行动并引起关注。新威胁演员的存在于 2022 年初首次被发现,此后皇家一直活跃。
Royal 与大多数勒索软件操作的不同之处在于,这个威胁行为者不会将其工具和基础设施出租给附属公司,而是私下工作。此外,Royal 追求高风险的打击,赎金从 25 万到 200 万美元不等。
起初,勒索软件记录使用 Zeon 的名字签名,在威胁者自己的加密工具之后,但在 2022 年秋季更改为 Royal。值得注意的是,在诉诸编写自己的加密工具之前,Royal 使用的勒索记录是结构类似于 Conti gang 笔记。
据信,Royal 使用复杂的网络钓鱼攻击来获得初始访问权限,使用实时电话运营商并冒充各种实体。与 Royal 运营商通电话的受害者被说服安装远程控制应用程序。黑客利用这些应用程序在目标网络中获得了初步立足点。
Royal 进入内部后,一切照旧,在部署加密工具之前确保持久性并在网络中横向移动。勒索软件将“.royal”扩展名附加到文件中,并在名为“README.TXT”的文件中放置勒索字条,该文件告诉受害者通过 Onion 页面联系威胁参与者。