【危機升溫】美國CISA緊急警告 完全拆解Royal ransomware入侵方式
美國 CISA 發表有關勒索軟件集團 Royal ransomware 的調查報告,指這個集團正在瞄準美國及國際組織進行攻擊。由於他們會使用先進方法入侵,而且能夠同時攻擊 Windows 及 Linux 作業系統,再加上他們的目標包括通訊、教育、醫療保健、製造業等關鍵行業,因此 CISA 才會發出緊急警報!
根據 Trend Micro 安全研究員的調查顯示,Royal ransomware 在 2022 年 1 月開發活動,集團最初被稱為 Zeon,因為研究員認為其核心成員來自 Zeno、Conti 及 TrickBot 等組織有關。至去年 9 月,Royal ransomware 已開始於地下討論區刊登勒索軟件服務廣告,可向客戶提供客製化的攻擊。
在入侵企業方面,集團常用方法包括發出釣魚電郵、利用面向公眾的應用服務或遠端桌面工具漏洞,又或購自帳戶登入資料經紀人(IAB)等,在取得帳戶訪問權後,首先會停用入侵電腦的防毒軟件及安全工具,以便他們潛入內部網絡搜刮重要資料,亦會利用 Cobalt Strike 和 PsExec 進行橫向移動,以及借助 Windows Volume Shadow Copy Service 服務阻止系統復原,事成後才會執行勒索軟件程式。
專家指 Royal ransomware 使用了一種獨特的部分加密方法,可因應需要選擇加密文件中特定百分比的數據,這種方法有助逃避偵測工具的檢測。事成後,他們會以外洩數據及解鎖費向受害企業雙重勒索,贖金約在 100 萬美元至 1,100 萬美元之間。雖然集團會盜取數據,但專家指暫時未見對方會將數據公開,與其他勒索軟件集團有重大分別。
以往 Royal ransomware 主要攻擊 Windows 作業系統,但在今年 2 月,有報告顯示對方已能攻擊 Linux 及虛擬機器,代表集團的技術正在持續進化。專家建議企業應該加強網絡安全措施,安裝最新的防病毒軟體、定期備份數據、使用強密碼和多因素身分驗證,限制員工訪問權限等等。
而在使用電郵時,員工須警惕回撥釣魚,不要點擊可疑的郵件,並確保網絡設備和應用服務都在最新版本。
資料來源:https://thehackernews.com/2023/03/us-cybersecurity-agency-raises-alarm.html?m=1
相關文章:【贏在開機線】BlackLotus注入UEFI套件 搶先停用Windows 11安全防禦功能