【目次】
概要
【概要】
■特徴
- RaaSを運用せず、分業化していない
- 身代金の要求額は25万ドルから200万ドル以上
- 公開のリークサイトを利用していない
■概要
| 項目 | 内容 |
|---|---|
| ランサムウェア名 | Royal (旧名称: Zeon) |
| 活動開始時期 | 2022/01~ |
| リブランド | 2022/09中旬~ (Royal) |
| 攻撃方法 | リークサイトを利用しない(非公開で身代金を要求) 標的型コールバックフィッシング攻撃を使用 リモートアクセスソフトウェアをインストールするよう被害者に説得 |
| 感染活動 | Cobalt Strikeを展開 認証情報を取得 Windowsドメインを通じて横展開 データを盗み出し デバイスを暗号化 |
| 拡張子 | .royal |
| Ransomnote | README.TXT |
| URL | royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion |
【最新情報】
◆Royal ransomware gang adds BlackSuit encryptor to their arsena (BleepingComputer, 2023/06/08 03:12)
[Royal ransomware集団、BlackSuit暗号化ツールを武器に加える]
https://www.bleepingcomputer.com/news/security/royal-ransomware-gang-adds-blacksuit-encryptor-to-their-arsenal/
⇒ https://malware-log.hatenablog.com/entry/2023/06/08/000000_4
記事
【ニュース】
■2022年
◇2022年9月
◆New Royal Ransomware emerges in multi-million dollar attacks (BleepingComputer, 2022/09/29 10:32)
[数百万ドル規模の攻撃で、新たなロイヤルランサムウェアが出現]
https://www.bleepingcomputer.com/news/security/new-royal-ransomware-emerges-in-multi-million-dollar-attacks/
⇒ https://malware-log.hatenablog.com/entry/2022/09/29/000000_5
◇2022年11月
◆マイクロソフト、「Royal」ランサムウェアのさまざまな配布手段について警告 (ZDNet, 2022/11/22 12:23)
https://japan.zdnet.com/article/35196408/
⇒ https://malware-log.hatenablog.com/entry/2022/11/22/000000
◇2022年12月
◆Royal ransomware claims attack on Intrado telecom provider (BleepingComputer, 2022/12/28 13:40)
[ロイヤルランサムウェアがIntrado通信事業者への攻撃を主張]
https://www.bleepingcomputer.com/news/security/royal-ransomware-claims-attack-on-intrado-telecom-provider/
⇒ https://malware-log.hatenablog.com/entry/2022/12/28/000000_3
■2023年
◇2023年1月
◆Microsoft: Over 100 threat actors deploy ransomware in attacks (BleepingComputer, 2023/01/31)
[マイクロソフト 100社以上の脅威者がランサムウェアを導入した攻撃を実施]
https://www.bleepingcomputer.com/news/security/microsoft-over-100-threat-actors-deploy-ransomware-in-attacks/
⇒ https://malware-log.hatenablog.com/entry/2023/01/31/000000_1
◇2023年2月
◆Linux version of Royal Ransomware targets VMware ESXi servers (BleepingComputer, 2023/02/05 10:15)
[Linux 版 Royal Ransomware が VMware ESXi サーバを狙う]
https://www.bleepingcomputer.com/news/security/linux-version-of-royal-ransomware-targets-vmware-esxi-servers/
⇒ https://malware-log.hatenablog.com/entry/2023/02/05/000000
◆感染したマシンのシャドウコピーも削除する「Chile Locker」に注意 (マイナビニュース, 2023/02/16 11:00)
https://news.mynavi.jp/techplus/article/newransomware-1/
⇒ https://malware-log.hatenablog.com/entry/2023/02/16/000000_1
◆RIG Exploit Kit still infects enterprise users via Internet Explorer (BleepingComputer, 2023/02/27 10:05)
[RIG Exploit Kitは、依然としてInternet Explorer経由で企業ユーザーに感染しています。]
https://www.bleepingcomputer.com/news/security/rig-exploit-kit-still-infects-enterprise-users-via-internet-explorer/
⇒ https://malware-log.hatenablog.com/entry/2023/02/27/000000
◇2023年3月
◆ウイルス対策ソフトを無効にしてデータを盗むマルウェア「Royal」の脅威 (マイナビニュース, 2023/03/08 09:28)
https://news.mynavi.jp/techplus/article/20230308-2608578/
⇒ https://malware-log.hatenablog.com/entry/2023/03/08/000000_2
◇2023年5月
◆Babuk Source Code Sparks 9 Different Ransomware Strains Targeting VMware ESXi Systems (The Hacker News, 2023/05/11)
[Babukのソースコードが、VMware ESXiシステムを標的とした9種類のランサムウェア・ストレインに飛び火]
https://thehackernews.com/2023/05/babuk-source-code-sparks-9-new.html
⇒ https://malware-log.hatenablog.com/entry/2023/05/11/000000_2
◇2023年6月
◆Royal ransomware gang adds BlackSuit encryptor to their arsena (BleepingComputer, 2023/06/08 03:12)
[Royal ransomware集団、BlackSuit暗号化ツールを武器に加える]
https://www.bleepingcomputer.com/news/security/royal-ransomware-gang-adds-blacksuit-encryptor-to-their-arsenal/
⇒ https://malware-log.hatenablog.com/entry/2023/06/08/000000_4
【ブログ】
■2022年
◇2022年12月
◆Conti Team One Splinter Group Resurfaces as Royal Ransomware with Callback Phishing Attacks (Trendmicro, 2022/12/21)
[Conti Team OneのスプリンターグループがRoyal Ransomwareとして再浮上し、コールバック型のフィッシング攻撃を実施]From September to December, we detected multiple attacks from the Royal ransomware group. In this blog entry, we discuss findings from our investigation of this ransomware and the tools that Royal ransomware actors used to carry out their attacks.
[9月から12月にかけて、Royalランサムウェアグループからの複数の攻撃を検出しました。このブログでは、このランサムウェアに関する調査結果、およびRoyalランサムウェアのアクターが攻撃を実行するために使用したツールについて説明します]https://www.trendmicro.com/en_us/research/22/l/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html
⇒ https://malware-log.hatenablog.com/entry/2022/12/21/000000_4
◆Ransomware Roundup:Royalランサムウェア (Fortinet, 2022/12/27)
https://www.fortinet.com/jp/blog/threat-research/ransomware-roundup-royal-ransomware
⇒ https://malware-log.hatenablog.com/entry/2022/12/27/000000_4
■2023年
◇2023年1月
◆ランサムウェア「Royal」が再登場し、コールバック型フィッシング攻撃を実施 (Trendmicro, 2023/01/24)
トレンドマイクロは、2022年9月から12月にかけてランサムウェアグループ「Royal」による複数の攻撃を検知しました。本記事では、このランサムウェアに関する調査結果及びランサムウェア「Royal」の攻撃者が攻撃時に使用したツールについて解説します
https://www.trendmicro.com/ja_jp/research/23/a/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html
⇒ https://malware-log.hatenablog.com/entry/2023/01/24/000000_5
◇2023年5月
◆脅威の評価: Royalランサムウェア (UNIT 42(Paloalto), 2023/05/09 05:18)
https://unit42.paloaltonetworks.jp/royal-ransomware/
⇒ https://malware-log.hatenablog.com/entry/2023/05/09/000000_3
【公開情報】
◆#StopRansomware: Royal Ransomware (CISA, 2023/03/02)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a
⇒ https://malware-log.hatenablog.com/entry/2023/03/02/000000_3
【資料】
■2022年
◇2022年11月
◆A Technical Analysis of Royal Ransomware (SecurityScorecard, 2022/11/14)
[Royal Ransomwareのテクニカル分析]
https://securityscorecard.pathfactory.com/research/the-royal-ransomware
⇒ https://malware-log.hatenablog.com/entry/2022/11/14/000000_1
【図表】
ランサムウェア「Royal」の攻撃フロー
出典: https://www.trendmicro.com/ja_jp/research/23/a/conti-team-one-splinter-group-resurfaces-as-royal-ransomware-wit.html
関連情報
【関連まとめ記事】
◆ランサムウェア (まとめ)
https://malware-log.hatenablog.com/entry/Ransomware
