Royal Ransomware

До CagedTech през Ransomwareг

Превод на:

Royal Ransomware принадлежи към сравнително нова група за киберпрестъпления. Първоначално хакерите са използвали криптиращите инструменти на други подобни атакуващи групи, но оттогава са преминали към използването на свои собствени. Групата е насочена към корпоративни субекти и изисква плащане на откуп, вариращ от $250 000 до $2 милиона. Забележителна характеристика на групата Royal Ransomware е, че тя не работи като RaaS (Ransomware-as-a-Service) и вместо това е изцяло частна група без никакви филиали.

Веригата на заразяване, която в крайна сметка завършва с внедряването на заплахата Royal Ransomware, започва с насочени фишинг атаки. Актьорите на заплахите използват това, което е известно като фишинг с обратно извикване, за да компрометират своите цели. Те започват с изпращане на примамливи имейли за фалшиви подновявания на абонамент за законна услуга за доставка на храна или софтуерен продукт. На жертвите се казва, че за да отменят предполагаемия абонамент, ще трябва да се обадят на предоставен телефонен номер. Телефонните оператори работят за киберпрестъпниците и ще използват различни тактики за социално инженерство, за да убедят жертвата да им осигури отдалечен достъп до компютъра. Инсталираният софтуер служи като първоначална точка за достъп до вътрешната корпоративна мрежа.

Когато заплахата Royal Ransomware се внедри и изпълни на устройствата на жертвите, тя ще шифрова значителна част от данните, съхранявани там. Всички заключени файлове ще имат '.royal', добавен към оригиналните им имена. Заплахата може да шифрова файловете на виртуалния диск (VMDK), свързани с виртуални машини. Когато целевите данни бъдат обработени, заплахата от ransomware ще продължи да доставя своята бележка за откуп. Съобщението на хакерите ще бъде пуснато като файл „README.TXT“ на пробитите системи, заедно с това ще бъде отпечатано от всички принтери, свързани към корпоративната мрежа.

Бележката за откуп гласи, че жертвите трябва да установят контакт с киберпрестъпниците, като посетят техния специален уебсайт, хостван в мрежата TOR. Сайтът се състои предимно от чат услуга за разговор с хакерите. Жертвите обикновено могат да изпратят няколко файла, които да бъдат дешифрирани безплатно като демонстрация. Въпреки че групата Royal Ransomware твърди, че събира поверителни данни от своите жертви в схема за двойно изнудване, досега не е открито място за изтичане на данни.