HVV在即，盘点极具威胁的勒索软件组织之一 ——Royal 勒索软件

自 2023 年以来，勒索软件经过沉寂后再次「卷土重来」，全球范围内勒索软件的受害者规模大幅增长。《2024 年全球威胁情报报告》的数据显示，研究人员收集到的勒索软件受害者人数超过 5000 人，比 2022 年的约 3000 人增长了 67%。

鉴于很多潜在的勒索软件受害者不愿意或因其他原因不能公开勒索软件事件，实际受害者数量可能更高，甚至成倍数增长。

此外，勒索软件受害者的行业分布也呈现出明显分层，关键基础设施信息、交通、政府部门、医疗、服务行业等关乎社会稳定发展的支柱行业成为了勒索软件攻击的主要攻击目标。其中，制造业在 2023 年成为勒索软件运营商首选攻击目标，占比达 28%，医疗、教育、政府机构等部门占据了近乎 50 %的勒索软件攻击。

勒索软件之所以再次死灰复燃，主要原因是是勒索软件背后的高额「利润」刺激了更多网络威胁分子投身其中。再加上，无数的勒索软件「前行者」不断创新，衍生出了类似 RaaS 勒索软件及服务+DDoS 攻击的三重全方位、高效率、低成本、破坏力大的勒索模式，逐步构建起了完善的勒索软件攻击生态链，降低了入行的「门槛」，为勒索软件「重生」提供了充足的养分。

因此，很多试图在网络世界发一笔横财的「年轻人」不断涌入勒索软件行业。微步在线发布的《2023 年威胁情报及 APT 活动分析报告》显示，据不完全统计全球勒索软件数量已达 1940 个，其中 2023 年新增了 43 个勒索团伙。

HVV 网在即，本文梳理了近期活跃度高、名气响亮的八个勒索软件组织之一 ——Royal 勒索软件，简要分析了这些勒索软件惯用的技术手段，攻击流程、成长背景，旨在为网络安全从业者构筑自身安全防御体系提供参考。

自 2022 年 9 月，Royal 勒索软件对美国和国际组织造成了巨大危害。据不完全统计，该组织袭击了制造业、通信、医疗保健和公共医疗、教育等全球范围内约 350 个组织，获得赎金已超过 2.75 亿美元（赎金要求从大约 100 万美元到 1100 万美元的比特币不等）。

Royal 勒索软件使用了一种独特的部分加密方法，允许威胁攻击者选择文件中特定比例的数据进行加密，这种方法允许攻击者降低较大文件的加密比例，从而有助于逃避检测。除加密文件外，Royal 勒索软件还采取双重勒索策略，威胁说如果受害者不支付赎金，他们就会公开发布加密数据。Royal 特工通过以下几种方式获取受害者网络的初始访问权限：

网络钓鱼：根据第三方报告，Royal 勒索软件（在 66.7% 的事件中）通过成功的网络钓鱼电子邮件获取受害者网络的初始访问权限。根据开放源代码报告：受害者在收到包含恶意 PDF 文档的网络钓鱼电子邮件和恶意广告后，在不知情的情况下安装了可发送 Royal  勒索软件的恶意软件和恶意广告；

远程桌面协议（RDP）：Royal  勒索软件用于初始访问的第二大最常见媒介（在 13.3% 的事件中）是 RDP 入侵；

面向公众的应用程序：联邦调查局观察到 Royal 勒索软件通过利用面向公众的应用程序中间商。来自可信第三方来源的报告显示，Royal 勒索软件可能会利用「经纪人」从窃取者日志中获取虚拟专用网络 (VPN) 凭据，从而获得初始访问权限和源代码流量。

Royal 勒索软件一旦进入网络，就会与指挥和控制（C2）基础设施通信，以加强其在受害者网络中的立足点。研究人员观察到 Royal 勒索软件使用了 Chisel（一种通过 HTTP 传输并通过 SSH 保护的隧道工具）与他们的 C2 基础设施通信。美国联邦调查局观察到 Royal 勒索软件攻击中使用了多个 Qakbot C2，但尚未确定 Royal 勒索软件是否只使用 Qakbot C2。

Royal 勒索软件经常使用 RDP 、 微软 Sysinternals 工具 PsExec 等攻击进行横向移动，为了能够随时访问受害者系统内，Royal 勒索软件还使用 AnyDesk、LogMeIn 和 Atera 等远程监控和管理 (RMM) 软件在受害者网络中持续存在。研究人员在以往 Royal  勒索软件攻击案例中发现，该团伙在使用合法的管理员账户远程登录域控制器进入域控制器后，便立刻通过修改组策略对象，停用防病毒协议。

Royal 勒索软件通过重新利用 Cobalt Strike等合法网络渗透测试工具和 Ursnif/Gozi等恶意软件工具和衍生工具进行数据聚合和盗取。值得一提的是，Royal 勒索软件盗取数据和其他操作的第一站通常都是美国 IP 地址。