Royal Ransomware的兴起与威胁

文章重点

• Royal ransomware是由前Conti Team One的威胁行为者运作的，主要针对美国和巴西的组织。
• 该勒索病毒的传播途径主要是通过回拨网络钓鱼攻击，下载远程访问软件。
• Royal ransomware运作人使用远程访问恶意软件来部署额外的负载，包括CobaltStrike和QakBot。
• 除了RClone进行数据外泄外，该勒索病毒还使用PsEXEC进行执行。

根据的报导，前Conti Team One的威胁行为者正活跃于Royalransomware的运作，该勒索病毒已涉及到多起网络攻击，范围涵盖了2022年9月至12月的多个事件。资料显示，被TrendMicro的研究人员认为是Zeon勒索病毒的重新品牌化。Zeon勒索病毒于2022年8月与Conti TeamOne相关联，该团体是Conti勒索病毒集团的主要成员，该集团因其在持续的俄乌战争中对俄罗斯的支持而被解散，并在此过程中发生了重大数据泄露事件。

Royalransomware的主要目标是美国和巴西的组织，攻击手法通常包括回拨的网络钓鱼攻击，借此方式下载远程访问软件。这些运作人随后利用这些远程访问的恶意软件来进一步部署其他的恶意负载，如CobaltStrike和QakBot。以下是Royalransomware的作业方式概述：

总体来看，Royal ransomware透过综合的攻击手段正在对企业构成严重威胁，值得关注并加强防范措施。