Royal Ransomware

ينتمي Royal Ransomware إلى مجموعة جرائم إلكترونية جديدة نسبيًا. في البداية ، استخدم المتسللون أدوات التشفير الخاصة بمجموعات الهجوم المماثلة الأخرى ، لكنهم انتقلوا منذ ذلك الحين إلى استخدام أدواتهم الخاصة. تستهدف المجموعة كيانات الشركات وتطالب بدفع فدية تتراوح من 250 ألف دولار حتى 2 مليون دولار. من السمات البارزة لمجموعة Royal Ransomware أنها لا تعمل كـ RaaS (Ransomware-as-a-Service) وهي ، بدلاً من ذلك ، مجموعة خاصة تمامًا بدون أي شركات تابعة.

تبدأ سلسلة العدوى التي تنتهي في النهاية بنشر تهديد Royal Ransomware بهجمات التصيد المستهدفة. يستخدم الفاعلون المهددون ما يُعرف باسم التصيد الاحتيالي لرد الاتصال لتعريض أهدافهم للخطر. يبدأون بإرسال رسائل بريد إلكتروني مغرية حول عمليات تجديد الاشتراك الزائفة لخدمة توصيل طعام مشروعة أو منتج برمجي. يتم إخبار الضحايا أنه لإلغاء الاشتراك المفترض ، سيتعين عليهم الاتصال برقم الهاتف المقدم. يعمل مشغلو الهاتف مع مجرمي الإنترنت وسيستخدمون أساليب هندسية اجتماعية مختلفة لإقناع الضحية بتزويدهم بوصول عن بعد إلى الكمبيوتر. يعمل البرنامج المثبت كنقطة وصول أولية إلى شبكة الشركة الداخلية.

عندما يتم نشر تهديد Royal Ransomware وتنفيذه على أجهزة الضحايا ، فإنه سيقوم بتشفير جزء كبير من البيانات المخزنة هناك. جميع الملفات المقفلة ستلحق ".royal" بأسمائها الأصلية. التهديد قادر على تشفير ملفات القرص الظاهري (VMDK) المرتبطة بالأجهزة الافتراضية. عندما تتم معالجة البيانات المستهدفة ، سيستمر تهديد برامج الفدية في تسليم مذكرة الفدية الخاصة به. سيتم إسقاط رسالة المتسللين كملف "README.TXT" على الأنظمة التي تم اختراقها ، إلى جانب طباعتها بواسطة أي طابعات متصلة بشبكة الشركة.

تنص مذكرة الفدية على أنه يجب على الضحايا إقامة اتصال مع مجرمي الإنترنت من خلال زيارة موقعهم الإلكتروني المخصص المستضاف على شبكة TOR. يتكون الموقع في الغالب من خدمة دردشة للتحدث مع المتسللين. يمكن للضحايا عادةً إرسال ملفين لفك تشفيرهما مجانًا كتوضيح. على الرغم من أن مجموعة Royal Ransomware تدعي أنها تجمع بيانات سرية من ضحاياها في مخطط ابتزاز مزدوج ، إلا أنه لم يتم اكتشاف أي موقع لتسريب البيانات حتى الآن.