美國(guó)衛(wèi)生與公眾服務(wù)部（HHS）發(fā)出警告稱：名為Royal的勒索軟件組織正對(duì)國(guó)家醫(yī)療保健系統(tǒng)發(fā)起攻擊。

該機(jī)構(gòu)的衛(wèi)生部門網(wǎng)絡(luò)安全協(xié)調(diào)中心（HC3）說："雖然大多數(shù)已知的勒索軟件運(yùn)營(yíng)商都提供勒索軟件服務(wù)，但Royal似乎是一個(gè)沒有任何附屬機(jī)構(gòu)的私人團(tuán)體，同時(shí)對(duì)于攻擊的目標(biāo)也一直出于經(jīng)濟(jì)目的。

目前，該組織聲稱要竊取數(shù)據(jù)進(jìn)行雙重勒索攻擊，他們也會(huì)滲出敏感數(shù)據(jù)。

據(jù)Fortinet FortiGuard實(shí)驗(yàn)室稱，Royal勒索軟件至少?gòu)?022年開始活躍。該惡意軟件是一個(gè)用C++編寫的64位Windows可執(zhí)行文件，通過命令行啟動(dòng)，這也表明它需要人工操作來觸發(fā)在進(jìn)入目標(biāo)環(huán)境后感染。

除了刪除系統(tǒng)中的卷影副本外，Royal還利用OpenSSL加密庫(kù)對(duì)文件進(jìn)行AES標(biāo)準(zhǔn)的加密，并在文件后綴上".royal"。

上個(gè)月微軟披露，它正在跟蹤的一個(gè)名為DEV-0569的團(tuán)體被觀察到通過各種方法部署勒索軟件。

這包括通過惡意廣告、假的論壇頁(yè)面、博客評(píng)論，或通過釣魚郵件將惡意鏈接傳遞給受害者，導(dǎo)致合法的應(yīng)用程序（如Microsoft Teams或Zoom）被安裝流氓程序文件。

據(jù)了解，這些文件藏有一個(gè)被稱為BATLOADER的惡意軟件下載器，然后被用來提供各種各樣的有效載荷，如Gozi、Vidar、BumbleBee，此外還濫用遠(yuǎn)程管理工具（如Syncro）來安裝Cobalt Strike，以便后續(xù)部署勒索軟件。

這個(gè)勒索軟件團(tuán)伙盡管今年才出現(xiàn)，但據(jù)了解該組織是由來自其他組織的有經(jīng)驗(yàn)的攻擊者組成，這表明了攻擊方式在不斷進(jìn)化。

目前Royal勒索軟件對(duì)醫(yī)療保健系統(tǒng)的攻擊主要集中在美國(guó)，贖金要求從25萬美元到200萬美元不等。