皇家(Royal)在11月份超过LockBit成为首要勒索软件，攻击次数增加41

大幅增加的勒索软件攻击：Royal 和 Cuba 排名前两位

重点提取

根据NCC集团的最新研究，LockBit勒索软件在11月份降至第三位，而Royal和Cuba勒索软件分别占据了前两位的位置。

11月份，勒索软件攻击上升了41，这得益于威胁行为者组的排名变化，具体内容可参见NCC集团的研究报告。

研究显示，Royal和Cuba分别以16和15的攻击占比排在最活跃的组别，令LockBit自2021年9月以来首次跌出榜首。

“尽管LockBit本月在受到影响的组织数量上有所减少，但新进入前三名的威胁行为者可能正在尽可能多地收集受害者，以便为2023年作准备，”NCC集团在报告中警告。

Royal勒索软件是2023年1月出现的一种新攻击形式，它与传统的勒索软件即服务RaaS模型不同，因为它不依赖于合作伙伴。该团体利用部分加密和多线程勒索软件来加速加密过程并躲避检测。

在传播方式上，Royal相较于LockBit等传统勒索软件攻击者，更富有人性化。Deep Instinct的网络情报工程经理Matthew Fulmer表示：“他们采用社交工程作为传播机制，并进行伪装的回电网络钓鱼攻击。”

确实，有人在11月份观察到，传播Royal勒索软件的威胁行为者使用创新的方法分发和掩盖其有效载荷。微软报告称，被追踪的威胁行为者DEV0569在目标公司网站的联系表单中嵌入了网络钓鱼链接。该组织还在看似合法的软件下载网站上托管假安装程序文件，使恶意下载看起来更为真实，并利用Google广告进一步扩展其恶意广告技术。

微软还将DEV0569认定为勒索软件运营的接入代理，此外，与其他勒索软件组织也在使用Royal变种的担忧并可能解释了Royal勒索软件近期的增长，NCC集团表示。

除了这个新组织的崛起外，报告还指出，相对较老的Cuba勒索软件组织的攻击数量也有所增加，这是近两年来NCC集团记录的最大攻击数量。

“回顾过去两年，Cuba勒索软件的攻击明显不活跃。因而11月份记录到的40次攻击是该组织的重大意外，”报告中提到。“这是否意味着Cuba会转向更活跃的运营并可能在长期内进入前三名的行列，仍待观察。”

“我们当然预计威胁行为者行为会有浮动和波动，但这里观察到的显著增长可能显示出更频繁、更高级别的针对行为。”NCC集团补充道。

尽管LockBit 30保持活跃，排在第三位，且未攻击占比为12，但NCC集团表示其攻击“明显低于预期”。

NCC集团的全球威胁情报负责人Matt Hull表示，LockBit 30运营减少可能意味着该组织可能正在解散。然而，Fulmer警告组织们不要掉以轻心。

“LockBit稍有损失是因为其构建工具在今年9月泄露，并且有关其加密器的内部信息被公开。这只是意味着他们会重新组合并重建，以更强大的弹性和更紧密的内部保护回来，”Fulmer说。

“[LockBit]在2023年很可能仍会是观察到的最流行的勒索软件变种