Hackernews 编译，转载请注明出处：

FBI 和 CISA 在一份联合报告中透露，自 2022 年 9 月以来，Royal 勒索软件团伙已经入侵了全球至少 350 个组织的网络。

在 3 月份发布的原始报告的更新中，这两家机构还指出，勒索软件行动与超过 2.75 亿美元的赎金要求有关。更新中包含了联邦调查局调查期间发现的额外信息。

报告中写道：“自 2022 年 9 月以来，Royal 已经在全球范围内锁定了 350 多名已知受害者，勒索软件的需求超过了 2.75 亿美元。”

“Royal 在加密之前进行数据泄露和勒索，然后在没有支付赎金的情况下将受害者的数据发布到泄露网站。网络钓鱼邮件是 Royal 团伙最初访问的最成功的媒介之一。”

今年 3 月，FBI 和 CISA 首次共享了入侵指标和战术、技术和程序(TTPs)清单，以帮助防御者检测和阻止在其网络上部署皇家勒索软件有效载荷的企图。

美国卫生与公众服务部(HHS)安全团队于 2022 年 12 月透露，勒索软件是针对美国医疗机构的多起攻击的幕后黑手，随后发布了这份联合咨询。

从 Royal 到 BlackSuit?

最新的咨询报告还指出，Royal 可能会计划一个品牌重塑计划和/或衍生版本，BlackSuit 勒索软件将展示与 Royal 共享的几个编码特征。

BleepingComputer 在 6 月份报道称，Royal 勒索软件团伙一直在测试一种新的 BlackSuit 加密器，它与该组织常用的加密器有许多相似之处。

虽然人们认为，自 5 月份 BlackSuit 勒索软件行动浮出水面以来，Royal 勒索软件行动将会重塑，但实际上从未发生过。Royal 仍在积极利用 BlackSuit 对企业组织进行有限的攻击。

由于 BlackSuit 是一个独立的行动，Royal 可能计划成立一个专注于某些类型受害者的组织，因为一旦发现两个加密器之间的相似性，重新命名就不再有意义了。

“我相信我们很快就会看到更多类似 BlackSuit 的东西。但到目前为止，似乎新的载入程序和新的 Blacksuit 加密器都是失败的，”RedSense 的合伙人兼研发主管 Yelisey Bohuslavskiy 告诉 BleepingComputer。

与 Conti 网络犯罪团伙的联系

Royal 勒索软件是由技术高超黑客组成的一个私人组织，他们曾与臭名昭著的 Conti 网络犯罪团伙合作。

尽管在2022年1月首次被发现，但自同年9月以来，他们的恶意活动强度才有所增加。

虽然他们最初使用的是来自 ALPHV/BlackCat 等其他行动的勒索软件加密器，可能是为了避免引起注意，但该团伙后来转向部署自己的工具。

虽然他们的第一个加密器 Zeon 放弃了让人想起 Conti 生成的勒索信，但他们在2022年9月中旬进行了品牌重塑后改用了 Royal 加密器。最近，该恶意软件已经升级到在针对 VMware ESXi 虚拟机的攻击中加密 Linux 设备。

尽管他们通常通过可公开访问设备的安全漏洞渗透目标网络，但 Royal 运营商也以回调网络钓鱼攻击而闻名。

在这些攻击中，当目标拨打嵌入在电子邮件中的电话号码时，攻击者巧妙地伪装成订阅续订，利用社会工程策略诱骗受害者安装远程访问软件，授予他们访问目标网络的权限。

Royal 攻击者的手法包括对目标的企业系统进行加密，并要求每次攻击的赎金从25万美元到数千万美元不等。

---

Hackernews 编译，转载请注明出处

消息来源：bleepingcomputer，译者：Serene