前情回顾·我怎么被黑的?

安全内参9月25日消息,美国德克萨斯州达拉斯市表示,今年5月该市因Royal勒索软件攻击被迫关闭所有IT系统,此次攻击始于一个被盗帐户。

在上周发布的《达拉斯市勒索软件事件:2023年5月事件的补救措施和解决方案》事件溯源分析总结报告中,达拉斯市对这起事件进行了完整回顾。

4月初,Royal团伙使用被盗的域服务帐户获得该市网络的访问权限,并在4月7日至5月4日期间持续访被破解系统。

市政府和外部网络安全专家通过分析系统日志数据得出结论,在此期间,攻击者成功收集并外泄了1.169 TB文件。

Royal团伙还在达拉斯市政府系统上部署了Cobalt Strike命令与控制信标(C2 Beacon),为部署勒索软件做准备。5月3日凌晨2点,Royal团伙开始部署勒索软件,使用合法的微软管理工具对服务器进行加密。

检测到攻击后,达拉斯市启用缓解措施,将高优先级的服务器脱机以阻止Royal团伙的攻击行动。与此同时,该市在内外部网络安全专家团队的帮助下开始服务恢复工作。

所有服务器的恢复过程持续了5周多。5月9日,财务服务器重新投用。6月13日,最后一台受到攻击影响的服务器“废物管理服务器”恢复正常。

达拉斯市表示:“本市向德克萨斯州总检察长报告,由于此次攻击,26212名德州居民和共计30253名个人的私人信息或被曝光。”

“总检察长网站显示,Royal团伙曝露了个人信息,如姓名、地址、社会保障信息、健康信息、健康保险信息等内容。”

到目前为止,达拉斯市议会已经为勒索软件攻击的恢复工作划拨850万美元预算,最终费用将在事后公布。

达拉斯是美国第四大都会区、第九大城市,总人口约260万。

打印机自动打印出勒索通知

最初,当地媒体报道,达拉斯市疑似遭到勒索软件攻击,于5月3日星期一早上关闭了警察通信和信息技术系统。

达拉斯市在5月3日发表的一份声明中解释说,“周三早上,本市安全监控工具通知了我们的安全运营中心(SOC),我们的环境中可能遭受了勒索软件攻击。随后,本市确认一些服务器已经受到勒索软件攻击,达拉斯警察局网站等多个功能区域受到影响。”

“市政府团队与供应商一起积极工作,努力隔离勒索软件,防止其进一步传播,并从被感染服务器中删除勒索软件,让当前受到影响的所有服务恢复正常。根据本市事件响应计划,市长和市议会收到了事件通知。”

达拉斯市的网络打印机在事件当天早上开始打印勒索通知。BleepingComputer获得了一张通知图片,得以确认Royal勒索软件团伙是这次攻击的幕后黑手。

通过市政府网络打印机“推送”的勒索通知

Royal勒索软件团伙被认为是Conti犯罪团伙的一个分支,在Conti停止运营后崭露头角。

Royal团伙于2022年1月出山。为了避免引起注意,他们最早使用其他勒索软件团伙的加密工具,比如ALPHV/BlackCat。不久之后,他们一整年都在用自己的加密工具Zeon发动攻击。

在2022年底,这个勒索软件团伙重新包装,选用了“Royal”这个名字,逐渐成为针对企业最活跃的勒索软件团伙之一。

Royal团伙惯于利用公开可访问设备中的安全漏洞侵入目标网络。他们也经常采用回电联络型钓鱼攻击获得企业网络的初始访问权限。

攻击目标会收到一封电子邮件,其中嵌入了伪装成订阅续订的电话号码。只要目标呼叫电话号码,攻击者就会使用社交工程学手段欺骗受害者安装远程访问软件,向威胁行为者提供其网络的访问权限。

参考资料:https://www.bleepingcomputer.com/news/security/dallas-says-royal-ransomware-breached-its-network-using-stolen-account/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。