针对健康领域的皇家勒索病毒警报

关键要点

• 皇家勒索病毒（Royal）对美国医疗 sector 的网络攻击有所上升，赎金要求在 $250,000 至 $2,000,000 之间。
• 皇家勒索病毒以财务动机为驱动，采用复杂技术实施攻击，涉及数据劫持与系统加密。
• 由于其手法与其他著名网络犯罪组织相似，皇家可能由经验丰富的黑客运营。
• 它不依赖于合作伙伴进行勒索服务（RaaS），并通过恶意广告和钓鱼链接传播。

自今年九月以来，美国卫生与人类服务部网络安全协调中心（）已经注意到针对医疗行业的网络攻击加剧，尤其是被称为“皇家”的人操作勒索病毒。过去三个月，该组织的袭击事件逐渐增加，赎金要求范围广泛，从
$250,000 到超过 $2,000,000不等。

皇家勒索病毒的威胁

分析显示，皇家勒索病毒似乎尤其专注于美国组织。在每次攻击中，皇家声称已公布受害者所谓的100%数据。在运作中，皇家勒索病毒以财务动机为第一驱动力，采用敏感数据泄露、持续性部署
Cobalt Strike、凭证采集及在系统内侧向移动等方法，最终加密文件。

HC3指出，考虑到勒索病毒给医疗社区带来的历史性威胁，皇家勒索病毒被认定为对健康与公共健康部门的威胁。最近几周，HC3还发布了对其他勒索病毒（如
Hive、Lorenz 和 Venus）的警报，这表明针对医疗行业的网络攻击仍在持续。

皇家勒索病毒的攻击方式

由于皇家组织是新的，其信息尚有限。但有一点明确：这一操作似乎由其他网络犯罪组织的经验丰富的威胁行为者主导，因为其战术和恶意软件与先前的勒索病毒操作有许多相似之处。尽管如此，该组织似乎是一个没有合作伙伴的私人团体，也不执行勒索即服务（RaaS）。HC3警告称，多个行为者正在传播皇家勒索病毒，并且它也是从标识为
DEV-0569 的来源分发。

“DEV-0569
明显依赖于恶意广告、钓鱼链接，这些链接指向伪装成软件安装程序或更新的恶意下载工具，通常嵌入在垃圾邮件、虚假论坛页面及博客评论中，”根据
的信息显示。其中一种攻击方法是利用目标实体网站的联系表单来发送钓鱼链接。

最初，皇家勒索病毒使用 ，但随后转向使用
Zeon，并且相关的勒索信与 有相似之处。值得注意的是，Zeon与 Conti 团体都以针对医疗行业进行高度定向攻击而闻名。

尽管 Conti 已经解散，但
正在冒充软件解决方案并针对医疗行业，意在利用信任并剥削企业环境中的安全缺陷。

进一步观察显示，皇家勒索病毒已被发现删除尽可能多的卷影副本，以防止受害者迅速恢复被删除或更改的网络文件。该恶意软件还加密本地网络及驱动器上的网络共享，采用
“AES 算法” 加密，密钥和初始向量以 RSA 公钥加密，该公钥会硬编码到可执行文件中。

该组织在其方法上展现出创新，通过利用规避战术、恶意广告中的