一、 概述

Royal勒索家族从2022年1月开始活动，并且一直活跃在勒索一线，2023年2月2日，微步沙箱捕获royal Linux版勒索软件。经微步情报局分析发现：

· Royal勒索组织和其他大多数活跃的勒索组织不同，该组织并不提供RaaS(勒索软件即服务)服务。与其他勒索组织相同的是均采用双重勒索的方式即勒索+窃密形式进行勒索，一般勒索金额为25至200万美金，如果受害者拒交赎金，攻击者将会将把敏感信息投放至暗网，促使受害者缴纳赎金；

· Royal勒索软件最初采用Black Cat的加密器，之后才使用自己的加密器zeon，勒索信的形式和Conti类似，直到2022年9月，才改名为当前名称Royal；

· 该勒索软件采用C++编写的，并且需要命令行进行启动，这也表明他需要借助其他手段才能执行成功；

· 微步在线通过对相关样本、IP和域名的溯源分析，提取多条相关 IOC ，可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS、主机威胁检测与响应平台OneEDR等均已支持对此次攻击事件和团伙的检测。

二、 一月勒索态势分析

根据微步情报局对1月份全球勒索软件监测的数据统计，我们观察到共有18个勒索软件发起了186起攻击活动，Lockbit 3.0作为当前最活跃的家族，以高达27.61%(53)的占比高居榜首。其次是royal、alphv(blackcat)、vicesociety三个家族不分伯仲。主要活跃勒索软件一览：

[出自:jiwo.org]

除了之前报告中介绍的lockbit 3依旧十分活跃，这次主要探讨的勒索家族就是紧随其后的royal家族，该家族攻击目标主要是制造业和零售业，由于当前传统制造业越来越自动化、网络化，但是相应的网络安全意识不足、应急预案不完备等缺点，导致制造业是勒索软件的重灾区。Royal除了攻击制造业，还会攻击医疗、教育、政府机构等。

其受害区域主要为北美、欧洲、和中国等地区

三、 家族分析

3.1家族简介

Royal勒索软件于2022年1月首次被观察到，之后因为多次攻击医疗保健行业被相关媒体和企业大量通报。相比同期相对活跃的勒索家族，该组织并不提供流行的RaaS（勒索软件即服务）模式，而是由一群经验丰富的勒索人员组成的私人团体。该勒索软件最初使用采用Black Cat的加密器，随着人员的不断扩充和软件的不断完善，推出自己的加密器zeon，并且于2022年9月正式更名为Royal。

当受害者被Royal勒索加密文件之后，后缀名被改为.roya后缀，并写入ReadMe.txt勒索信，在勒索信中，除了保证信息解密外，还提供系统安全审查等话术，意在提高赎金支付率，在勒索信中包含了攻击者的暗网联系地址。

之后通过输入受害者联系邮箱及相关信息进行联系解密等。

3.2家族画像

3.3技术特点

A. 通过恶意链接、钓鱼邮件、诱导用户安装恶意软件

在初始化阶段，攻击者通过钓鱼邮件、虚拟论坛、博客评论、电话欺骗等方式发送给用户恶意链接，该链接通过下载BATLOADER和Qbot加载器，然后加载器下载执行Cobalt Strike恶意程序，通过Cobalt Strike进而收集用户凭证、窃取信息、最后上传勒索软件加密文件等操作。

四、样本关联分析

Royal Linux 样本通过微步云沙箱在2023年2月2日捕获

4.1 命令行相似

通过对比，发现两者命令行类似

并且二者采用 -id 启动都需要一个 32位的数组

4.2 加密方式相同

二者均采用RSA+AES的方式进行文件加密

4.3 勒索信和加密后缀相同

五、样本详细分析

5.1基本信息

5.2详细分析

带参数执行

该恶意软件需要通过参数执行，在低版本中存在三个参数分别为，-path\-id\-eq在最新版中增加了两个参数 -localonly和-networkonly

其参数含义为

删除卷影副本

使用带参运行之后，则通过vssadmin.exe delete shadows /all /quiet删除副本，防止用户恢复数据。

排除部分加密路径

为了防止数据重复加密或者加密后系统不能运行，也为了提高加密的运行效率和速度，该加密软件会排除扩展名如 exe\dll\bat\lnk\royal_w\royal_u\README.TXT:

同时排除部分路径路径包括 windows\royal\recycle.bin\google\preflogs\mozilla\tor browser\boot\window.~ws\windows.~bt\windows.old

线程加密

1. 本地文件加密

创建2*cpu数的线程进行文件加密

恶意文件使用AES+RSA的方式进行加密，其RSA公钥嵌入本身文件中

之后使用了OpenSSL库和AES256算法进行文件加密，最后将文件改为 .royal_w后缀

2. 共享文件加密

恶意文件通过调用 GetIpAddrTable 检索目标机器的不同 IP 地址，重点包括: 192\10\172\100网段进行搜索。

对遍历得到的IP地址尝试使用smb协议进行访问，从而加密共享文件

写入勒索信

恶意文件专门创建一个线程进行勒索信的写入，其写入目录为排除目录的每个目录都进行写入。

最终加密目录如下

附录 - 行动建议

1. Royal勒索家族目前未公布解密工具，建议直接重置相关机器，并进行加固后重新上线。如需解密，可联系相关厂商尝试通过磁盘还原解密；

2. 加强网络安全管理，对网络进行划域分级，并严格控制各个网络域之间的访问权限；

3. 加强密码防护，强制使用请密码，并定期修改，多账户避免使用同一口令；其次提升员工安全意识，避免将敏感的账户/系统信息记录在公开平台或硬编码在github等互联网平台中；

4. 关闭非必需的3389和445端口服务，防范主机失陷后继续内网传播感染，如需开启，建议加强ACL限制和认证；

5. 及时关注外部威胁情报，及时对暴露在互联网上的服务进行升级更新，避免存在高危漏洞暴露在公网中，如现有的Exchange服务器由于版本过低，存在多个高危漏洞，随时都有被攻击入侵的风险；

6. 对域内主机加强管控和防护，落实现有安全管理制度，包括但不限于基线加固、主机防护、流量审计、漏洞扫描等；

7. 针对重要数据实施备份机制，并针对备份服务器做好权限控制及认证，防止服务器被勒索后同时影响备份机；

8. 加强内外网的威胁监控尤其是失陷破坏及可疑的内网渗透行为，可通过微步在线TDP进行实时监控，及时发现风险；

9. 对于来源不明的软件或者文档，可以上传微步云沙箱（http://s.threatbook.cn）进行多引擎查杀，该平台可进行免费多引擎查杀和样本分析；

10. 开启主机日志服务并保存日志至安全审计分析设备，针对安全设备开展持续化的安全策略优化工作，将安全监控分析常态化。