概述
Royal 勒索家族从2022年1月开始活动,一直活跃在勒索一线,于2023年2月2日,微步沙箱捕获 Royal Linux 版勒索软件。经微步情报局分析发现:
-
Royal 勒索组织和其他大多数活跃的勒索组织不同,该组织并不提供 RaaS (勒索软件即服务)服务。与其他勒索组织相同的是均采用双重勒索的方式即勒索+窃密形式进行勒索,一般勒索金额为25至200万美金,如果受害者拒交赎金,攻击者将会将把敏感信息投放至暗网,促使受害者缴纳赎金; -
Royal 勒索软件最初采用 Black Cat 的加密器,之后才使用自己的加密器 zeon,勒索信的形式和 Conti 类似,直到2022年9月,才改名为当前名称Royal;
-
该勒索软件采用 C++ 编写的,并且需要命令行进行启动,这也表明他需要借助其他手段才能执行成功;
微步在线通过对相关样本、IP和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS、主机威胁检测与响应平台OneEDR等均已支持对此次攻击事件和团伙的检测。
一月勒索态势分析
|
Lockbit 3.0 |
royal |
alphv |
vicesociety |
|
clop |
play |
freecivilian |
mallox |
|
blackbyte |
bianlian |
blackbasta |
hive |
|
lorenz |
ransomhouse |
|
|
其受害区域主要为北美、欧洲、和中国等地区。
家族分析
3.1家族简介
Royal 勒索软件于2022年1月首次被观察到,之后因为多次攻击医疗保健行业被相关媒体和企业大量通报。相比同期相对活跃的勒索家族,该组织并不提供流行的RaaS(勒索软件即服务)模式,而是由一群经验丰富的勒索人员组成的私人团体。该勒索软件最初使用采用 Black Cat 的加密器,随着人员的不断扩充和软件的不断完善,推出自己的加密器 zeon,并且于2022年9月正式更名为 Royal。
当受害者被 Royal 勒索加密文件之后,后缀名被改为 .roya 后缀,并写入ReadMe.txt 勒索信。在勒索信中,除了保证信息解密外,还提供系统安全审查等话术,意在提高赎金支付率,在勒索信中还包含了攻击者的暗网联系地址。
之后通过输入受害者联系邮箱及相关信息进行联系解密等。
3.2家族画像
|
团伙画像 |
|
|
特点 |
描述 |
|
平台 |
Windows、Linux |
|
攻击目标 |
制造业、医疗保健、零售 |
|
攻击向量 |
恶意链接、钓鱼邮件 |
|
武器库 |
Cobalt Strike |
|
支持解密 |
否 |
|
暗网地址 |
royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion |
3.3技术特点
(1)通过恶意链接、钓鱼邮件、诱导用户安装恶意软件
在初始化阶段,攻击者通过钓鱼邮件、虚拟论坛、博客评论、电话欺骗等方式发送给用户恶意链接,该链接通过下载 BATLOADER 和 Qbot 加载器,然后加载器下载执行 Cobalt Strike 恶意程序,通过 Cobalt Strike 进而收集用户凭证、窃取信息、最后上传勒索软件加密文件等操作。
样本关联分析
Royal Linux 样本通过微步云沙箱在2023年2月2日捕获。
通过分析并对比 Royal Windows 版本发现,判定该样本为 Royal 家族最新Linux版本。
4.1 命令行相似
通过对比,发现两者命令行类似:
并且二者采用 -id 启动都需要一个32位的数组。
4.2 加密方式相同
二者均采用 RSA+AES 的方式进行文件加密。
4.3 勒索信和加密后缀相同
样本详细分析
5.1基本信息
|
Sha256 |
42eec2b721e59640d7b88202b80d2d9a5c84bf34534396098a497a60ef5ebb97 |
|
SHA1 |
aeaea352b9fe0236f281ce9456586ff39785fc74 |
|
MD5 |
99de8709cafc195cd12cfca75d35de4a |
|
文件类型 |
PE32 executable (GUI) Intel 80386, for MS Windows |
|
文件大小 |
2.13MB |
|
文件名称 |
windows_encryptor.exe |
5.2详细分析
5.2.1带参数执行
该恶意软件需要通过参数执行,在低版本中存在三个参数分别为,-path-id-eq在最新版中增加了两个参数 -localonly和-networkonly。
其参数含义如下:
|
参数 |
含义 |
|
-path |
需要加密的路径 |
|
-id |
32位数组 (必选) |
|
-eq |
被加密的文件的百分比 |
|
-localonly |
仅本地文件加密 |
|
-networkonly |
仅共享磁盘加密 |
5.2.2 删除卷影副本
使用带参运行之后,则通过 vssadmin.exe delete shadows /all /quiet 删除副本,防止用户恢复数据。
5.2.3 排除部分加密路径
为了防止数据重复加密或者加密后系统不能运行,也为了提高加密的运行效率和速度,该加密软件会排除扩展名,如 exedllbatlnkroyal_wroyal_uREADME.TXT。
同时排除部分路径路径包括 windowsroyalrecycle.bingooglepreflogsmozillator browserbootwindow.~wswindows.~btwindows.old。
5.2.4 线程加密
1.本地文件加密
创建2*cpu数的线程进行文件加密。
恶意文件使用 AES+RSA 的方式进行加密,其 RSA 公钥嵌入本身文件中。
之后使用了 OpenSSL 库和 AES256 算法进行文件加密,最后将文件改为 .royal_w 后缀。
2.共享文件加密
恶意文件通过调用 GetIpAddrTable 检索目标机器的不同 IP 地址,重点包括: 19210172100网段进行搜索。
对遍历得到的 IP 地址尝试使用 SMB 协议进行访问,从而加密共享文件。
5.2.5 写入勒索信
恶意文件专门创建一个线程进行勒索信的写入,其写入目录为排除目录的每个目录都进行写入:
最终加密目录如下:
回复关键词“RO”获取相关IOC。
---End---
点击下方,关注我们
第一时间获取最新的威胁情报
原文始发于微信公众号(微步在线研究响应中心):解密一线活跃的 Royal,“勒索”与“加密器”的双重陷阱
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论