美國(guó)衛(wèi)生與公眾服務(wù)部(HHS)發(fā)出警告稱:名為Royal的勒索軟件組織正對(duì)國(guó)家醫(yī)療保健系統(tǒng)發(fā)起攻擊。
該機(jī)構(gòu)的衛(wèi)生部門網(wǎng)絡(luò)安全協(xié)調(diào)中心(HC3)說:"雖然大多數(shù)已知的勒索軟件運(yùn)營(yíng)商都提供勒索軟件服務(wù),但Royal似乎是一個(gè)沒有任何附屬機(jī)構(gòu)的私人團(tuán)體,同時(shí)對(duì)于攻擊的目標(biāo)也一直出于經(jīng)濟(jì)目的。
目前,該組織聲稱要竊取數(shù)據(jù)進(jìn)行雙重勒索攻擊,他們也會(huì)滲出敏感數(shù)據(jù)。
據(jù)Fortinet FortiGuard實(shí)驗(yàn)室稱,Royal勒索軟件至少?gòu)?022年開始活躍。該惡意軟件是一個(gè)用C++編寫的64位Windows可執(zhí)行文件,通過命令行啟動(dòng),這也表明它需要人工操作來觸發(fā)在進(jìn)入目標(biāo)環(huán)境后感染。
除了刪除系統(tǒng)中的卷影副本外,Royal還利用OpenSSL加密庫對(duì)文件進(jìn)行AES標(biāo)準(zhǔn)的加密,并在文件后綴上".royal"。
上個(gè)月微軟披露,它正在跟蹤的一個(gè)名為DEV-0569的團(tuán)體被觀察到通過各種方法部署勒索軟件。
這包括通過惡意廣告、假的論壇頁面、博客評(píng)論,或通過釣魚郵件將惡意鏈接傳遞給受害者,導(dǎo)致合法的應(yīng)用程序(如Microsoft Teams或Zoom)被安裝流氓程序文件。
據(jù)了解,這些文件藏有一個(gè)被稱為BATLOADER的惡意軟件下載器,然后被用來提供各種各樣的有效載荷,如Gozi、Vidar、BumbleBee,此外還濫用遠(yuǎn)程管理工具(如Syncro)來安裝Cobalt Strike,以便后續(xù)部署勒索軟件。
這個(gè)勒索軟件團(tuán)伙盡管今年才出現(xiàn),但據(jù)了解該組織是由來自其他組織的有經(jīng)驗(yàn)的攻擊者組成,這表明了攻擊方式在不斷進(jìn)化。
目前Royal勒索軟件對(duì)醫(yī)療保健系統(tǒng)的攻擊主要集中在美國(guó),贖金要求從25萬美元到200萬美元不等。