【危機升溫】美國CISA緊急警告　完全拆解Royal ransomware入侵方式

美國 CISA 發表有關勒索軟件集團 Royal ransomware 的調查報告，指這個集團正在瞄準美國及國際組織進行攻擊。由於他們會使用先進方法入侵，而且能夠同時攻擊 Windows 及 Linux 作業系統，再加上他們的目標包括通訊、教育、醫療保健、製造業等關鍵行業，因此 CISA 才會發出緊急警報！

根據 Trend Micro 安全研究員的調查顯示，Royal ransomware 在 2022 年 1 月開發活動，集團最初被稱為 Zeon，因為研究員認為其核心成員來自 Zeno、Conti 及 TrickBot 等組織有關。至去年 9 月，Royal ransomware 已開始於地下討論區刊登勒索軟件服務廣告，可向客戶提供客製化的攻擊。

在入侵企業方面，集團常用方法包括發出釣魚電郵、利用面向公眾的應用服務或遠端桌面工具漏洞，又或購自帳戶登入資料經紀人（IAB）等，在取得帳戶訪問權後，首先會停用入侵電腦的防毒軟件及安全工具，以便他們潛入內部網絡搜刮重要資料，亦會利用 Cobalt Strike 和 PsExec 進行橫向移動，以及借助 Windows Volume Shadow Copy Service 服務阻止系統復原，事成後才會執行勒索軟件程式。

專家指 Royal ransomware 使用了一種獨特的部分加密方法，可因應需要選擇加密文件中特定百分比的數據，這種方法有助逃避偵測工具的檢測。事成後，他們會以外洩數據及解鎖費向受害企業雙重勒索，贖金約在 100 萬美元至 1,100 萬美元之間。雖然集團會盜取數據，但專家指暫時未見對方會將數據公開，與其他勒索軟件集團有重大分別。

以往 Royal ransomware 主要攻擊 Windows 作業系統，但在今年 2 月，有報告顯示對方已能攻擊 Linux 及虛擬機器，代表集團的技術正在持續進化。專家建議企業應該加強網絡安全措施，安裝最新的防病毒軟體、定期備份數據、使用強密碼和多因素身分驗證，限制員工訪問權限等等。

而在使用電郵時，員工須警惕回撥釣魚，不要點擊可疑的郵件，並確保網絡設備和應用服務都在最新版本。

資料來源：https://thehackernews.com/2023/03/us-cybersecurity-agency-raises-alarm.html?m=1

相關文章：【贏在開機線】BlackLotus注入UEFI套件　搶先停用Windows 11安全防禦功能