文章总结： 美国达拉斯市因Royal勒索软件攻击导致IT系统瘫痪。溯源发现攻击始于一个被盗域服务帐号，攻击者利用CobaltStrike潜伏数周窃取1.169TB数据。事件造成3万余人信息泄露，恢复耗资850万美元，突显身份安全与权限管理的极端重要性。 综合评分： 76 文章分类： 安全大事件,数据泄露,恶意软件,应急响应,威胁情报

勒索攻击溯源报告：一个帐号被盗，一个城市政务服务停摆

安全内参编译 安全内参编译

安全内参

2023年9月25日 18:27 北京

关注我们

带你读懂网络安全

一颗马蹄钉毁掉了一场战争，一个帐号陷落了一个智慧城市。

前情回顾·我怎么被黑的？

• LastPass用户数据遭窃：关键运维员工遭定向攻击，内部安全控制失效
• 网络巨头思科遭数据勒索：VPN访问权限被窃取，2.8GB数据泄露
• Okta今年为何被黑？研究发现4大高危害漏洞｜身份攻击溯源
• 美国“卫星网中断”事件复盘：管理后台遭入侵，数万Modem被下发破坏指令

安全内参9月25日消息，美国德克萨斯州达拉斯市表示，今年5月该市因Royal勒索软件攻击被迫关闭所有IT系统，此次攻击始于一个被盗帐户。

在上周发布的《达拉斯市勒索软件事件：2023年5月事件的补救措施和解决方案》事件溯源分析总结报告中，达拉斯市对这起事件进行了完整回顾。

4月初，Royal团伙使用被盗的域服务帐户获得该市网络的访问权限，并在4月7日至5月4日期间持续访被破解系统。

市政府和外部网络安全专家通过分析系统日志数据得出结论，在此期间，攻击者成功收集并外泄了1.169 TB文件。

Royal团伙还在达拉斯市政府系统上部署了Cobalt Strike命令与控制信标（C2 Beacon），为部署勒索软件做准备。5月3日凌晨2点，Royal团伙开始部署勒索软件，使用合法的微软管理工具对服务器进行加密。

检测到攻击后，达拉斯市启用缓解措施，将高优先级的服务器脱机以阻止Royal团伙的攻击行动。与此同时，该市在内外部网络安全专家团队的帮助下开始服务恢复工作。

所有服务器的恢复过程持续了5周多。5月9日，财务服务器重新投用。6月13日，最后一台受到攻击影响的服务器“废物管理服务器”恢复正常。

达拉斯市表示：“本市向德克萨斯州总检察长报告，由于此次攻击，26212名德州居民和共计30253名个人的私人信息或被曝光。”

“总检察长网站显示，Royal团伙曝露了个人信息，如姓名、地址、社会保障信息、健康信息、健康保险信息等内容。”

到目前为止，达拉斯市议会已经为勒索软件攻击的恢复工作划拨850万美元预算，最终费用将在事后公布。

达拉斯是美国第四大都会区、第九大城市，总人口约260万。

打印机自动打印出勒索通知

最初，当地媒体报道，达拉斯市疑似遭到勒索软件攻击，于5月3日星期一早上关闭了警察通信和信息技术系统。

达拉斯市在5月3日发表的一份声明中解释说，“周三早上，本市安全监控工具通知了我们的安全运营中心（SOC），我们的环境中可能遭受了勒索软件攻击。随后，本市确认一些服务器已经受到勒索软件攻击，达拉斯警察局网站等多个功能区域受到影响。”

“市政府团队与供应商一起积极工作，努力隔离勒索软件，防止其进一步传播，并从被感染服务器中删除勒索软件，让当前受到影响的所有服务恢复正常。根据本市事件响应计划，市长和市议会收到了事件通知。”

达拉斯市的网络打印机在事件当天早上开始打印勒索通知。BleepingComputer获得了一张通知图片，得以确认Royal勒索软件团伙是这次攻击的幕后黑手。

通过市政府网络打印机“推送”的勒索通知

Royal勒索软件团伙被认为是Conti犯罪团伙的一个分支，在Conti停止运营后崭露头角。

Royal团伙于2022年1月出山。为了避免引起注意，他们最早使用其他勒索软件团伙的加密工具，比如ALPHV/BlackCat。不久之后，他们一整年都在用自己的加密工具Zeon发动攻击。

在2022年底，这个勒索软件团伙重新包装，选用了“Royal”这个名字，逐渐成为针对企业最活跃的勒索软件团伙之一。

Royal团伙惯于利用公开可访问设备中的安全漏洞侵入目标网络。他们也经常采用回电联络型钓鱼攻击获得企业网络的初始访问权限。

攻击目标会收到一封电子邮件，其中嵌入了伪装成订阅续订的电话号码。只要目标呼叫电话号码，攻击者就会使用社交工程学手段欺骗受害者安装远程访问软件，向威胁行为者提供其网络的访问权限。

参考资料：bleepingcomputer.com

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全内参 安全内参编译 安全内参编译《勒索攻击溯源报告：一个帐号被盗，一个城市政务服务停摆》