皇家勒索软件威胁瞄准美国医疗系统

美国卫生与公众服务部（HHS）警告称，针对该国医疗机构的皇家勒索软件攻击仍在继续。

该机构的卫生部门网络安全协调中心（HC3）表示：“虽然大多数已知勒索软件运营商都执行了勒索软件即服务，但Royal似乎是一个没有任何附属机构的私人集团，同时保持财务动机作为其目标”。

“该组织确实声称为双重勒索攻击窃取数据，他们也会在那里窃取敏感数据”。

据Fortinet FortiGuard实验室称，皇家勒索软件至少自2022年初以来一直处于活跃状态。该恶意软件是一个用C++编写的64位Windows可执行文件，通过命令行启动，表明它涉及操作员在访问目标环境后触发感染。

除了删除系统上的卷影副本外，Royal还利用OpenSSL加密库将文件加密到AES标准，并将其附加一个“.rroyal”扩展名。

上个月，微软披露，它跟踪的一个名为DEV-0569的组织通过多种方法部署了勒索软件家族。

这包括通过恶意广告、虚假论坛页面、博客评论或通过钓鱼电子邮件向受害者发送恶意链接，从而导致Microsoft Teams或Zoom等合法应用的恶意安装程序文件。

已知这些文件中包含一个名为BATLOADER的恶意软件下载器，该下载器随后被用于传送各种有效载荷，如Gozi、Vidar、BumbleBee，此外，还滥用Syncro等真正的远程管理工具部署Cobalt Strike以用于后续的勒索软件部署。

勒索软件团伙，尽管今年才出现，但据信由其他行动的经验丰富的参与者组成，这表明威胁形势不断演变。

HHS表示:“最初，勒索软件使用了黑猫的加密器，但最终开始使用Zeon，后者生成了一个勒索软件笔记，被识别为与Conti的类似。”“这张纸币后来在2022年9月改为皇家纸币”。

该机构进一步指出，针对医疗保健的皇家勒索软件攻击主要针对美国的组织，支付要求从25万美元到200万美元不等。