解密一线活跃的 Royal,“勒索”与“加密器”的双重陷阱
2023-3-15 17:49:38 Author: 微步在线研究响应中心(查看原文) 阅读量:31 收藏

 

1

           概述

Royal 勒索家族从2022年1月开始活动,一直活跃在勒索一线,于2023年2月2日,微步沙箱捕获 Royal Linux 版勒索软件。经微步情报局分析发现:

  • Royal 勒索组织和其他大多数活跃的勒索组织不同,该组织并不提供 RaaS (勒索软件即服务)服务。与其他勒索组织相同的是均采用双重勒索的方式即勒索+窃密形式进行勒索,一般勒索金额为25至200万美金,如果受害者拒交赎金,攻击者将会将把敏感信息投放至暗网,促使受害者缴纳赎金;
  • Royal 勒索软件最初采用 Black Cat 的加密器,之后才使用自己的加密器 zeon,勒索信的形式和 Conti 类似,直到2022年9月,才改名为当前名称Royal;

  • 该勒索软件采用 C++ 编写的,并且需要命令行进行启动,这也表明他需要借助其他手段才能执行成功;

微步在线通过对相关样本、IP和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS、主机威胁检测与响应平台OneEDR等均已支持对此次攻击事件和团伙的检测。

2

           一月勒索态势分析

根据微步情报局对1月份全球勒索软件监测的数据统计,我们观察到共有18个勒索软件发起了186起攻击活动,Lockbit 3.0作为当前最活跃的家族,以高达27.61%(53)的占比高居榜首。其次是 Royal、Alphv(Blackcat)、Vicesociety 三个家族不分伯仲。主要活跃勒索软件一览:

Lockbit 3.0

royal

alphv

vicesociety

clop

play

freecivilian

mallox

blackbyte

bianlian

blackbasta

hive

lorenz

ransomhouse

 
除了之前报告中介绍的 Lockbit 3 依旧十分活跃,这次主要探讨的勒索家族就是紧随其后的 Royal 家族,该家族攻击目标主要是制造业和零售业,由于当前传统制造业越来越自动化、网络化,但是相应的网络安全意识不足、应急预案不完备等缺点,导致制造业是勒索软件的重灾区。Royal 除了攻击制造业,还会攻击医疗、教育、政府机构等。

其受害区域主要为北美、欧洲、和中国等地区。

3

          家族分析

3.1家族简介  

Royal 勒索软件于2022年1月首次被观察到,之后因为多次攻击医疗保健行业被相关媒体和企业大量通报。相比同期相对活跃的勒索家族,该组织并不提供流行的RaaS(勒索软件即服务)模式,而是由一群经验丰富的勒索人员组成的私人团体。该勒索软件最初使用采用 Black Cat 的加密器,随着人员的不断扩充和软件的不断完善,推出自己的加密器 zeon,并且于2022年9月正式更名为 Royal。

当受害者被 Royal 勒索加密文件之后,后缀名被改为 .roya 后缀,并写入ReadMe.txt 勒索信。在勒索信中,除了保证信息解密外,还提供系统安全审查等话术,意在提高赎金支付率,在勒索信中还包含了攻击者的暗网联系地址。

之后通过输入受害者联系邮箱及相关信息进行联系解密等。

3.2家族画像  

团伙画像

特点

描述

平台

Windows、Linux

攻击目标

制造业、医疗保健、零售

攻击向量

恶意链接、钓鱼邮件

武器库

Cobalt Strike

支持解密

暗网地址

royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion

3.3技术特点  

(1)通过恶意链接、钓鱼邮件、诱导用户安装恶意软件

在初始化阶段,攻击者通过钓鱼邮件、虚拟论坛、博客评论、电话欺骗等方式发送给用户恶意链接,该链接通过下载 BATLOADER 和 Qbot 加载器,然后加载器下载执行 Cobalt Strike 恶意程序,通过 Cobalt Strike 进而收集用户凭证、窃取信息、最后上传勒索软件加密文件等操作。

4

           样本关联分析

Royal Linux 样本通过微步云沙箱在2023年2月2日捕获。

通过分析并对比 Royal Windows 版本发现,判定该样本为 Royal 家族最新Linux版本。

4.1 命令行相似  

通过对比,发现两者命令行类似:

并且二者采用 -id 启动都需要一个32位的数组。

4.2 加密方式相同  

二者均采用 RSA+AES 的方式进行文件加密。

4.3 勒索信和加密后缀相同  

5

          样本详细分析

5.1基本信息  

Sha256

42eec2b721e59640d7b88202b80d2d9a5c84bf34534396098a497a60ef5ebb97

SHA1

aeaea352b9fe0236f281ce9456586ff39785fc74

MD5

99de8709cafc195cd12cfca75d35de4a

文件类型

PE32 executable (GUI) Intel 80386, for MS Windows

文件大小

2.13MB

文件名称

windows_encryptor.exe

5.2详细分析  

5.2.1带参数执行  

该恶意软件需要通过参数执行,在低版本中存在三个参数分别为,-path\-id\-eq在最新版中增加了两个参数 -localonly和-networkonly。

其参数含义如下:

参数

含义

-path

需要加密的路径

-id

32位数组 (必选)

-eq

被加密的文件的百分比

-localonly

仅本地文件加密

-networkonly

仅共享磁盘加密

5.2.2 删除卷影副本  

使用带参运行之后,则通过 vssadmin.exe delete shadows /all /quiet 删除副本,防止用户恢复数据。

5.2.3 排除部分加密路径  

为了防止数据重复加密或者加密后系统不能运行,也为了提高加密的运行效率和速度,该加密软件会排除扩展名,如 exe\dll\bat\lnk\royal_w\royal_u\README.TXT。

同时排除部分路径路径包括 windows\royal\recycle.bin\google\preflogs\mozilla\tor browser\boot\window.~ws\windows.~bt\windows.old。

5.2.4 线程加密  

1.本地文件加密

创建2*cpu数的线程进行文件加密。

恶意文件使用 AES+RSA 的方式进行加密,其 RSA 公钥嵌入本身文件中。

之后使用了 OpenSSL 库和 AES256 算法进行文件加密,最后将文件改为  .royal_w 后缀。

2.共享文件加密

恶意文件通过调用 GetIpAddrTable 检索目标机器的不同 IP 地址,重点包括: 192\10\172\100网段进行搜索。

对遍历得到的 IP 地址尝试使用 SMB 协议进行访问,从而加密共享文件。

5.2.5 写入勒索信  

恶意文件专门创建一个线程进行勒索信的写入,其写入目录为排除目录的每个目录都进行写入:

最终加密目录如下:

回复关键词“RO获取相关IOC。

---End---
点击下方,关注我们
第一时间获取最新的威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247500291&idx=1&sn=7500e5d6e60889273c90fa73994d96d2&chksm=cfcaa117f8bd280176438150b461b93394a0a944b790a259cafdc58f6ca06cb5b0efb29546b8#rd
如有侵权请联系:admin#unsafe.sh