Royal
报告编号: TIR-2026-0623-010 | 分类等级: TLP:AMBER | 发布日期: 2026年6月23日 | 情报来源: 多源交叉验证(OSINT + CISA/FBI 联合公告 AA23-061A + DOJ/ICE Operation Checkmate + Unit 42 / Palo Alto Networks + CyberScoop + Barracuda + S-RM + Huntress + HHS HC3)
一、执行摘要
Royal / BlackSuit 是2022年9月至2025年间活跃的 Conti 勒索软件直系继承者,经历了 Conti → Zeon → Quantum → Royal → BlackSuit → Chaos 六阶段品牌演化,是勒索软件生态中演化路径最清晰、品牌更名最频繁的犯罪联合体。该组织以 450+ 美国受害者、3.7 亿美元+赎金收入、总勒索要求超过 5 亿美元 的规模,成为2023-2025年最具破坏力的勒索威胁之一。
Royal 的核心特征在于其私有运营模式——不同于典型 RaaS 架构,该组织不招募外部附属机构,所有攻击行动由内部团队或紧密关联的初始访问经纪人(如 GootLoader 供应链)执行。其独创的部分加密技术(可配置每个文件的加密百分比)显著加速了加密过程,降低了被检测窗口。2025年7月24日,美国执法部门发起 Operation Checkmate 行动,缴获4台服务器、9个域名、约109万美元加密货币,但组织核心成员未被逮捕,疑似以 Chaos 品牌重新活跃。
关键发现
| 维度 | 关键指标 |
|---|
| 组织规模 | 450+ 美国受害者,全球数百家(截至2025.07执法行动) |
| 赎金收入 | 3.7 亿美元+(已确认支付),5 亿美元+(总勒索要求) |
| 最大单笔 | 6,000 万美元(单一受害者勒索要求) |
| 加密方式 | OpenSSL AES 对称加密 + RSA-4096 密钥包装;部分加密(可配置百分比) |
| 首要入口 | GootLoader(SEO poisoning)→ SystemBC RAT → 凭证窃取 → 横向移动 |
| 商业模式 | 私有运营(非 RaaS),无已知外部附属机构 |
| 品牌演化 | Conti → Zeon → Quantum → Royal → BlackSuit → Chaos |
| MITRE ATT&CK | S1073(Royal 软件) |
| 解密可能性 | 不存在(无公开解密工具,无执法密钥泄露) |
| 当前状态 | 疑似活跃(Operation Checkmate 后以 Chaos 品牌重新出现) |
威胁等级评估
| 评估维度 | 等级 | 说明 |
|---|
| 技术能力 | 🟠 高 | 部分加密技术、OpenSSL AES + RSA-4096、多阶段品牌演化能力 |
| 运营成熟度 | 🔴 极高 | 私有运营、专业化谈判团队、持续品牌重塑能力 |
| 攻击规模 | 🔴 极高 | 450+ 美国受害者,$3.7亿+赎金,跨行业攻击 |
| 目标针对性 | 🔴 极高 | 88% 中小企业,教育、医疗、政府、制造、法律 |
| 数据泄露风险 | 🔴 极高 | 双重勒索 + 数据泄露网站施压 |
二、威胁行为者画像
2.1 组织标识
| 属性 | 值 |
|---|
| 官方名称 | Royal / BlackSuit Ransomware |
| 别名 | Chaos(2025后)、DEV-0569(Microsoft)、Ignoble Scorpius(Unit 42)、S1073(MITRE ATT&CK 软件 ID) |
| MITRE ATT&CK | S1073(Royal 软件) |
| 组织类型 | 私有运营(非 RaaS) |
| 活跃周期 | 2022年9月 – 至今(Royal: 2022.09-2023.06; BlackSuit: 2023.05-2025.07; Chaos: 2025-至今) |
| 主要语言 | 英语(勒索信/谈判)、俄语(内部通信) |
| 地理归属 | 俄语地区(高置信度);东欧基础设施 |
| 攻击目标 | 全球(美国为主要目标) |
| 动机 | 经济利益 |
2.2 组织演化时间线
2022.02 Conti 勒索组织因内部聊天泄露而公开衰落
成员誓言继续运营,启动品牌重塑
↓
2022.03 Zeon 勒索软件首次出现(Conti 直系继承)
技术架构与 Conti 高度一致
↓
2022.05 Quantum 勒索软件出现(Zeon 更名)
引入部分加密技术
↓
2022.09 Royal 勒索软件首次被发现
继承 Quantum 技术架构
开始大规模攻击活动
↓
2023.03 CISA/FBI 发布联合公告 AA23-061A
正式警告 Royal 勒索软件威胁
↓
2023.05 BlackSuit 勒索软件出现(Royal 更名)
保留相同基础设施和 TTPs
扩展攻击规模
↓
2024.06 Unit 42 发布 BlackSuit 分析报告
确认 93+ 受害者,追踪代号 Ignoble Scorpius
88% 为中小企业
↓
2024.12 CyberScoop 报道:450+ 美国受害者
$3.7亿+ 赎金支付,$5亿+ 总要求
95+ 组织(S-RM 统计)
↓
2025.07.24 Operation Checkmate(美国执法行动)
缴获 4 台服务器、9 个域名
查封 ~$109万 加密货币
核心成员未被捕
↓
2025.Q3 Chaos 勒索软件出现
疑似 BlackSuit 残余力量品牌重塑
前成员据报加入 INC Ransom
三、归因分析
3.1 地理归属
| 证据类型 | 详情 | 置信度 |
|---|
| 语言分析 | 内部通信使用俄语;勒索信和谈判使用英语 | 高 |
| Conti 继承 | 技术架构、TTPs、人员均源自 Conti 生态 | 高 |
| 基础设施 | C2 服务器和泄露站托管于东欧 | 中-高 |
| 执法评估 | CISA/FBI AA23-061A 归因于俄语地区行为者 | 高 |
| Unit 42 | 追踪代号 Ignoble Scorpius,关联东欧犯罪生态 | 中-高 |
3.2 Conti 生态演化链
Royal/BlackSuit 是 Conti 勒索软件最直接的继承者之一,其演化路径清晰:
Conti(2020-2022)
├── 2022.02 内部聊天泄露 → 公开衰落
│
├──→ Zeon(2022.03-2022.05)
│ └──→ Quantum(2022.05-2022.09)
│ └──→ Royal(2022.09-2023.06)
│ └──→ BlackSuit(2023.05-2025.07)
│ └──→ Chaos(2025-至今)
│
├──→ Black Basta(独立分支)
├──→ Play(独立分支)
└──→ 其他分支(Trigona、NoEscape 等)
关键区别:
- Black Basta / Play:独立运营,与 Royal 无直接组织关联
- Royal/BlackSuit:保持 Conti 核心技术架构和人员,是"同一组织的品牌更名"
- Barracuda 研究:确认"8年、6个名称、1个联合体"的演化链
3.3 关键人物
| 人物/代号 | 角色 | 状态 |
|---|
| DEV-0569 | Microsoft 追踪代号 | 未公开 |
| Ignoble Scorpius | Unit 42 追踪代号 | 未公开 |
| 前 Conti 核心成员 | 组织管理层 | 疑似活跃或已转入 INC Ransom |
注意:Royal/BlackSuit 的具体成员身份尚未被执法部门公开披露。Operation Checkmate 仅缴获基础设施,未逮捕核心成员。
四、技术能力评估
4.1 加密方案
| 属性 | 值 |
|---|
| 加密库 | OpenSSL |
| 对称加密 | AES(CBC/CTR 模式) |
| 密钥封装 | RSA-4096 |
| 部分加密 | 可配置每个文件的加密百分比(默认约20-50%) |
| Royal 扩展名 | .royal_u |
| BlackSuit 扩展名 | .royal_w / .blacksuit |
| 勒索信 | readme.txt(Royal)/ README.txt(BlackSuit) |
4.2 部分加密技术
Royal/BlackSuit 最显著的技术创新是部分加密(Partial/Intermittent Encryption):
┌──────────────────────────────────────────────────────┐
│ Royal/BlackSuit 部分加密机制 │
├──────────────────────────────────────────────────────┤
│ │
│ 传统勒索软件: │
│ [████████████████████████████████████████] 100% 加密 │
│ 耗时长,检测窗口大 │
│ │
│ Royal/BlackSuit: │
│ [██░░░██░░░██░░░██░░░██░░░██░░░██░░░██] ~20-50% 加密 │
│ 速度快,检测窗口小,仍可完全恢复 │
│ │
│ 配置参数: │
│ ├── 加密百分比(可配置) │
│ ├── 块大小(固定间隔) │
│ └── 跳过的数据段间隔 │
│ │
│ 优势: │
│ ├── 加密速度提升 2-5 倍 │
│ ├── 减少 I/O 操作,降低被检测概率 │
│ ├── 缩短攻击者在系统上的暴露时间 │
│ └── 对大型文件(数据库、VM)效果显著 │
│ │
└──────────────────────────────────────────────────────┘
4.3 双重勒索机制
┌─────────────────────────────────────────────────┐
│ Royal/BlackSuit 双重勒索模型 │
├─────────────────────────────────────────────────┤
│ │
│ 第一阶段:数据窃取 │
│ ├── Rclone 外传至云存储 │
│ ├── 敏感数据识别与分类 │
│ └── 数据泄露网站准备 │
│ │
│ 第二阶段:文件加密 │
│ ├── 部分加密(可配置百分比) │
│ ├── 终止安全进程和备份服务 │
│ ├── 删除卷影副本 │
│ └── 部署勒索信(readme.txt) │
│ │
│ 第三阶段:勒索谈判 │
│ ├── 专业谈判团队与受害者沟通 │
│ ├── 赎金以加密货币支付 │
│ └── 最大单笔要求:$6,000万 │
│ │
│ 第四阶段:数据泄露(如未支付) │
│ └── 数据发布至泄露网站 │
│ │
└─────────────────────────────────────────────────┘
五、攻击链分析
5.1 初始访问
| 技术 | MITRE ATT&CK | 详情 |
|---|
| GootLoader | T1566.001 / T1195.002 | SEO 投毒分发,通过供应链下载器投放 |
| 钓鱼邮件 | T1566.001 | 鱼叉式钓鱼,携带恶意附件 |
| RDP 攻击 | T1133 | 暴力破解或凭证泄露利用 |
| 公开漏洞利用 | T1190 | 利用面向公众的应用漏洞 |
5.2 执行与持久化
| 技术 | MITRE ATT&CK | 详情 |
|---|
| SystemBC RAT | T1071 | GootLoader 第二阶段投放,建立持久 C2 通道 |
| PowerShell | T1059.001 | 脚本执行与载荷下载 |
| Mimikatz / NanoDump | T1003.001 | LSASS 内存转储,凭证提取 |
| 合法工具滥用 | T1588.001 | PsExec、WMIC 等系统管理工具 |
5.3 横向移动与发现
| 技术 | MITRE ATT&CK | 详情 |
|---|
| PsExec | T1570 | 远程执行勒索二进制文件 |
| WMIC | T1047 | Windows Management Instrumentation 横向传播 |
| RDP | T1021.001 | 远程桌面协议横向移动 |
| 网络扫描 | T1046 | 内部网络资产枚举 |
| Active Directory 枚举 | T1087 | 域用户和组枚举 |
5.4 数据外传
| 技术 | MITRE ATT&CK | 详情 |
|---|
| Rclone | T1567.002 | 配置云存储远程目标,自动化数据外传 |
| 云存储服务 | T1537 | 多种云存储用于接收窃取数据 |
5.5 防御规避与影响
| 技术 | MITRE ATT&CK | 详情 |
|---|
| 终止安全进程 | T1562.001 | 终止 AV、EDR、备份进程 |
| 删除卷影副本 | T1490 | vssadmin delete shadows /all /quiet |
| 部分加密 | T1486 | 可配置加密百分比,减少 I/O 检测窗口 |
| 清除日志 | T1070.001 | 删除 Windows 事件日志 |
| 字符串混淆 | T1027 | 载荷字符串加密/编码 |
六、受害者分析
6.1 规模与地理分布
| 指标 | 值 |
|---|
| 确认受害者(美国) | 450+ 组织(CyberScoop 2024.12 报道) |
| 全球受害者 | 95+ 组织(S-RM 统计)/ 数百家(多源估计) |
| 赎金收入 | 3.7 亿美元+(已确认支付,按当前加密货币价值计算) |
| 总勒索要求 | 5 亿美元+ |
| 最大单笔 | 6,000 万美元 |
| 受害者类型 | 88% 中小企业(Unit 42) |
6.2 行业分布
| 行业 | 优先级 | 说明 |
|---|
| 教育 | 🔴 首要 | 学校、大学、教育机构 |
| 医疗卫生 | 🔴 高 | 医院、诊所、医疗服务商 |
| 政府 | 🔴 高 | 地方政府、公共机构 |
| 制造业 | 🟠 高 | 制造企业、工业设施 |
| 法律服务 | 🟠 高 | 律师事务所、法律机构 |
| 金融服务 | 🟡 中 | 银行、保险公司 |
| 信息技术 | 🟡 中 | IT 服务商、软件公司 |
| 零售 | 🟡 中 | 零售连锁、电商 |
6.3 受害者特征
- 88% 为中小企业(Unit 42 统计)——组织防护能力相对薄弱
- 美国为主要目标——450+ 美国受害者占绝大多数
- 高价值目标勒索——最大单笔要求达 6,000 万美元
- 行业广泛——不局限于特定行业,跨行业无差别攻击
七、组织演化与运营模式分析
7.1 品牌演化策略
┌──────────────────────────────────────────────────────┐
│ Conti → BlackSuit 品牌演化链 │
├──────────────────────────────────────────────────────┤
│ │
│ Conti(2020-2022.02) │
│ ├── 全球最活跃 RaaS │
│ ├── 2022.02 内部聊天泄露 → 声誉受损 │
│ └── 成员分散,多分支独立 │
│ │
│ Zeon(2022.03-2022.05) │
│ ├── 首次品牌重塑,技术架构不变 │
│ └── 短暂存在,快速更名 │
│ │
│ Quantum(2022.05-2022.09) │
│ ├── 引入部分加密技术 │
│ └── 开始建立独立品牌认知 │
│ │
│ Royal(2022.09-2023.06) │
│ ├── CISA/FBI 联合公告(AA23-061A) │
│ ├── 大规模攻击活动 │
│ └── .royal_u 扩展名 │
│ │
│ BlackSuit(2023.05-2025.07) │
│ ├── 继承 Royal 全部基础设施 │
│ ├── 扩展至 450+ 美国受害者 │
│ ├── .royal_w / .blacksuit 扩展名 │
│ └── Operation Checkmate(2025.07.24) │
│ │
│ Chaos(2025-至今) │
│ ├── 疑似 BlackSuit 残余力量 │
│ └── 前成员据报加入 INC Ransom │
│ │
└──────────────────────────────────────────────────────┘
7.2 私有运营模式
Royal/BlackSuit 区别于典型 RaaS 的关键特征:
| 特征 | Royal/BlackSuit(私有运营) | 典型 RaaS(如 LockBit) |
|---|
| 附属机构 | 无已知外部附属 | 大量公开招募附属 |
| 攻击执行 | 内部团队或紧密关联 IAB | 附属独立执行 |
| 分成模式 | 不适用(全部收入归组织) | 80/20 或 90/10 分成 |
| 品牌曝光 | 频繁更名以降低归因 | 稳定品牌以招募附属 |
| 初始访问 | GootLoader 供应链 | 多种 IAB 渠道 |
7.3 洗钱路径
赎金以加密货币收取,通过以下路径清洗:
受害者支付 → 加密货币钱包 → 多层混币/跨链转换 → 场外交易(OTC) → 法币提取
Operation Checkmate 缴获约 109 万美元加密货币,表明该组织具备大规模资金管理能力。
八、Operation Checkmate 执法行动分析
8.1 行动概要
| 属性 | 值 |
|---|
| 行动名称 | Operation Checkmate |
| 执行日期 | 2025年7月24日 |
| 主导机构 | 美国执法部门(ICE HSI 主导) |
| 缴获服务器 | 4 台 |
| 缴获域名 | 9 个 |
| 查封资产 | ~109 万美元加密货币 |
| 逮捕情况 | 无核心成员被捕 |
8.2 行动影响
- 基础设施打击:缴获关键服务器和域名,暂时中断运营能力
- 资金查封:109 万美元加密货币被冻结
- 组织韧性:核心成员未被捕,技术能力未受根本性打击
- 品牌重塑:行动后疑似以 Chaos 品牌重新活跃
8.3 与 Hive 行动对比
| 维度 | Hive 瓦解(2023.01) | Operation Checkmate(2025.07) |
|---|
| 渗透时间 | 7个月秘密渗透 | 未公开 |
| 解密密钥 | 获取 300+ 密钥 | 未获取密钥 |
| 核心逮捕 | 后续多国逮捕(乌克兰、法国) | 无核心成员被捕 |
| 组织状态 | 彻底瓦解 | 疑似以 Chaos 品牌重建 |
| 受害者恢复 | 336 名受害者获得密钥 | 无解密支持 |
九、IOC 完整列表
9.1 网络指标
| 类型 | 值 | 说明 |
|---|
| 扩展名 | .royal_u | Royal 变体加密文件扩展名 |
| 扩展名 | .royal_w | BlackSuit 变体加密文件扩展名 |
| 扩展名 | .blacksuit | BlackSuit 变体加密文件扩展名 |
| 文件 | readme.txt | Royal 勒索信 |
| 文件 | README.txt | BlackSuit 勒索信 |
| 工具 | GootLoader | 初始访问下载器(SEO 投毒分发) |
| 工具 | SystemBC | 后门 RAT(C2 通信) |
| 工具 | Mimikatz / NanoDump | 凭证窃取 |
| 工具 | PsExec / WMIC | 横向移动 |
| 工具 | Rclone | 数据外传 |
9.2 被利用漏洞
| CVE | 影响组件 | 说明 |
|---|
| 多种 | 面向公众的应用 | 初始访问向量,具体 CVE 因目标环境而异 |
9.3 攻击工具链
GootLoader(SEO 投毒 → 下载器)
↓
SystemBC RAT(C2 通道建立)
↓
Mimikatz / NanoDump(LSASS 凭证窃取)
↓
PsExec / WMIC(横向移动)
↓
Rclone(数据外传)
↓
Royal / BlackSuit 载荷(部分加密 + 勒索信)
十、检测规则
10.1 Sigma 规则
规则 1:Royal/BlackSuit 卷影副本删除
title: Royal/BlackSuit Ransomware - Volume Shadow Copy Deletion
id: d4e5f6a7-b8c9-0123-defg-234567890123
status: experimental
description: 检测 Royal/BlackSuit 勒索软件删除卷影副本的行为
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains|all:
- 'vssadmin'
- 'delete'
- 'shadows'
condition: selection
level: high
tags:
- attack.defense_evasion
- attack.t1490
规则 2:GootLoader 初始访问链
title: GootLoader - Initial Access Chain
id: e5f6a7b8-c9d0-1234-efgh-345678901234
status: experimental
description: 检测 GootLoader 下载器的典型行为模式
logsource:
category: process_creation
product: windows
detection:
selection:
ParentImage|endswith: '\powershell.exe'
Image|endswith: '\cmd.exe'
CommandLine|contains: 'SystemBC'
condition: selection
level: critical
tags:
- attack.execution
- attack.t1059.001
- attack.t1195.002
规则 3:Royal/BlackSuit 部分加密行为
title: Royal/BlackSuit - Partial Encryption File Pattern
id: f6a7b8c9-d0e1-2345-fghi-456789012345
status: experimental
description: 检测 Royal/BlackSuit 部分加密产生的文件扩展名变更
logsource:
category: file_event
product: windows
detection:
selection:
TargetFilename|endswith:
- '.royal_u'
- '.royal_w'
- '.blacksuit'
condition: selection
level: critical
tags:
- attack.impact
- attack.t1486
10.2 YARA 规则
rule Royal_BlackSuit_Ransomware {
meta:
description = "检测 Royal/BlackSuit 勒索软件载荷"
author = "Threat Intelligence Team"
date = "2026-06-23"
reference = "AA23-061A / Operation Checkmate"
strings:
$s1 = ".royal_u" ascii
$s2 = ".royal_w" ascii
$s3 = ".blacksuit" ascii
$s4 = "readme.txt" ascii
$s5 = "vssadmin delete shadows" ascii
$s6 = "SystemBC" ascii
$hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
condition:
3 of ($s*) and $hex1
}
十一、风险评估矩阵
| 风险维度 | 评分 | 说明 |
|---|
| 加密强度 | 8/10 | OpenSSL AES + RSA-4096,无公开解密工具 |
| 传播能力 | 6/10 | 私有运营,依赖 GootLoader 供应链而非附属机构 |
| 规避能力 | 8/10 | 部分加密减少检测窗口,品牌更名规避归因 |
| 数据泄露威胁 | 8/10 | 双重勒索 + 数据泄露网站 |
| 基础设施韧性 | 7/10 | Operation Checkmate 后仍以 Chaos 品牌重建 |
| 恢复可能性 | 6/10 | 核心成员未被捕,组织具备持续运营能力 |
| 综合风险 | 🔴 极高 | 组织疑似活跃,持续演化能力极强 |
十二、缓解建议
12.1 即时行动
- 检查 IOC:对照第九节 IOC 列表扫描环境,特别关注
.royal_u / .royal_w / .blacksuit 扩展名 - GootLoader 检测:部署针对 GootLoader 下载器的检测规则(SEO 投毒 + SystemBC RAT)
- 凭证安全:强制重置所有特权账户凭证,启用 MFA
- 监控 Rclone:检测 Rclone 配置和云存储外传行为
12.2 短期加固
- 修补暴露面:所有面向公众的应用在72小时内打补丁
- 网络分段:隔离关键资产(数据库、备份系统、域控制器)
- 限制 PsExec/WMIC:通过 AppLocker/WDAC 限制系统管理工具使用
- 备份验证:确认离线/不可变备份的完整性和可恢复性
12.3 长期策略
- 零信任架构:实施网络分段和最小权限原则
- 供应链安全:监控 GootLoader 等初始访问工具的 SEO 投毒活动
- 威胁狩猎:定期针对 Conti 生态 TTPs 进行主动狩猎
- ** Conti 生态关联分析**:监控 Black Basta、Play、INC Ransom 等关联组织动态
12.4 解密恢复路径
| 维度 | 详情 |
|---|
| 解密器状态 | 无公开解密工具 |
| 执法密钥 | Operation Checkmate 未公开解密密钥 |
| 加密强度 | OpenSSL AES + RSA-4096,密码学强度极高 |
| 部分加密 | 理论上部分加密文件可能通过文件恢复工具还原部分数据 |
| 建议 | 优先从备份恢复;联系 FBI IC3(ic3.gov)报告事件;咨询专业数据恢复服务 |
注意:Royal/BlackSuit 疑似以 Chaos 品牌继续活跃。如遭遇声称代表该组织的攻击,应立即联系 FBI 当地外勤站,不建议直接支付赎金。
十三、核心建议
- 品牌演化追踪:Royal/BlackSuit 的六阶段品牌演化(Conti → Chaos)证明单一品牌打击不足以消除威胁。防御者需建立演化链追踪能力,而非仅关注单一品牌名称
- 私有运营更难打击:与 RaaS 不同,私有运营组织无附属机构可追踪,攻击入口更隐蔽(GootLoader 供应链),执法行动更难获取内部情报
- 部分加密趋势:Royal/BlackSuit 的部分加密技术可能被更多组织采用,传统基于 I/O 模式的检测规则需更新
- Operation Checkmate 局限:仅缴获基础设施而未逮捕核心成员,组织迅速以 Chaos 品牌重建——证明"打基础设施不打人"的策略效果有限
- 中小企业优先防护:88% 受害者为中小企业,应优先为中小企业提供勒索软件防护资源和应急响应支持
附录
附录 A:信息来源
| 编号 | 来源 | 日期 |
|---|
| [1] | CISA/FBI AA23-061A: #StopRansomware: Royal Ransomware | 2023.03.22 |
| [2] | MITRE ATT&CK: S1073 - Royal Software | 持续更新 |
| [3] | Unit 42 / Palo Alto Networks: BlackSuit Ransomware Analysis | 2024.06 |
| [4] | CyberScoop: BlackSuit ransomware has hit 450+ US victims | 2024.12 |
| [5] | Barracuda: 8 Years, 6 Names, 1 Syndicate | 2024 |
| [6] | S-RM: BlackSuit Ransomware Analysis | 2024 |
| [7] | DOJ/ICE: Operation Checkmate Takedown | 2025.07.24 |
| [8] | HHS HC3: BlackSuit Analyst Note | 2024 |
| [9] | Huntress: BlackSuit Malware Analysis | 2024 |
| [10] | Wikipedia: BlackSuit (ransomware) | 持续更新 |
附录 B:术语表
| 术语 | 定义 |
|---|
| RaaS | Ransomware-as-a-Service,勒索软件即服务 |
| IAB | Initial Access Broker,初始访问经纪人 |
| GootLoader | 通过 SEO 投毒分发的初始访问下载器 |
| SystemBC | 后门 RAT,常用于建立 C2 通道 |
| 部分加密 | 仅加密文件部分内容(可配置百分比),加速加密过程 |
| 品牌演化 | 勒索组织通过更名重建品牌以规避归因和执法打击 |
| DEV-0569 | Microsoft 对 Royal/BlackSuit 的追踪代号 |
| Ignoble Scorpius | Unit 42 对 BlackSuit 的追踪代号 |
| Operation Checkmate | 2025.07.24 美国执法部门对 BlackSuit 的打击行动 |
附录 C:追踪计划
| 维度 | 说明 |
|---|
| 组织状态 | 疑似活跃(Chaos 品牌),持续监控 |
| 品牌演化 | 监控 Chaos 及后续可能的品牌更名 |
| 成员追踪 | 关注前成员是否加入 INC Ransom 或其他组织 |
| TTPs 监控 | 部分加密技术、GootLoader 供应链攻击 |
| 执法动态 | Operation Checkmate 后续进展 |
| 解密工具 | 关注是否有公开解密工具发布 |