Royal勒索软件增加了对加密Linux，VMware ESXi系统的支持

royal勒索软件团伙是最新的勒索组织，按时间顺序添加对加密 Linux 设备和目标 VMware ESXi 虚拟机的支持。其他勒索软件运营商已经支持Linux加密，包括AvosLocker，Black Basta，BlackMatter，HelloKitty，Hive，LockBit，Luna，Nevada，RansomEXX和REvil。

BleepingComputer首先报道了Equinix威胁分析中心（ETAC）研究员Will Thomas发现了皇家勒索软件的Linux变体。新变体将.royal_u扩展名追加到 VM 上所有加密文件的文件名中。查询 VirusTotal 以获取专家共享的哈希值，我们可以验证当前勒索软件变体的检测率为 32 我们的 63。

根据Thomas的说法，该恶意软件是使用命令行执行的，并支持多个参数来控制加密操作。密文件时，勒索软件会将.royal_u扩展名附加到 VM 上的所有加密文件。

royal勒索软件是一种人为操作的威胁，于 2022 年 9月首次出现在威胁领域，它要求高达数百万美元的赎金。与其他勒索软件操作不同，Royal 不提供勒索软件即服务，它似乎是一个没有附属网络的私人团体。一旦破坏了受害者的网络，威胁行为者就会部署开发后工具Cobalt Strike来保持持久性并执行横向移动。

最初，勒索软件操作使用BlackCat的加密器，但后来开始使用Zeon。赎金记录 （README.TXT） 包含指向受害者私人谈判页面的链接。从 2022 年 <> 月开始，该票据更改为皇家。royal勒索软件可以根据文件的大小和“-ep”参数完全或部分加密文件。该恶意软件将加密文件的扩展名更改为“.royal”。

2022 年 11 月，Microsoft 安全威胁情报团队的研究人员警告说，跟踪为 DEV-0569 的威胁行为者正在使用 Google Ads 分发各种有效载荷，包括最近发现的皇家勒索软件。DEV-<> 组织开展恶意广告活动，以传播指向伪装成软件安装程序的签名恶意软件下载器的链接或嵌入在垃圾邮件、虚假论坛页面和博客评论中的虚假更新。

2022 年 12月，美国卫生与公众服务部 （HHS） 警告医疗机构注意皇家勒索软件攻击。BleepingComputer 论坛托管有关此特定威胁的royal勒索软件 （.royal） 支持主题。

上周，CERT-FR警告说，针对ESXi服务器的活动正在进行中。昨天，意大利国家网络局还警告说，针对全球VMware ESXi服务器（包括意大利系统）的大规模勒索软件活动正在进行中。攻击者试图利用 CVE-2021–21974 漏洞。

原文始发于微信公众号（黑猫安全）：Royal勒索软件增加了对加密Linux，VMware ESXi系统的支持