Royal Ransomware

El Royal Ransomware pertany a un grup de cibercrim relativament nou. Inicialment, els pirates informàtics van utilitzar les eines d'encriptació d'altres grups d'atac similars, però des de llavors han passat a utilitzar les seves pròpies. El grup s'adreça a entitats corporatives i exigeix el pagament d'un rescat que va des dels 250.000 dòlars fins als 2 milions de dòlars. Una característica notable del grup Royal Ransomware és que no funciona com a RaaS (Ransomware-as-a-Service) i és, en canvi, un grup totalment privat sense cap filial.

La cadena d'infecció que finalment acaba amb el desplegament de l'amenaça Royal Ransomware, comença amb atacs de pesca dirigits. Els actors de l'amenaça utilitzen el que es coneix com trucada de pesca per comprometre els seus objectius. Comencen enviant correus electrònics d'atracció sobre renovacions de subscripcions falses per a un servei de lliurament d'aliments o producte de programari legítim. Es diu a les víctimes que per cancel·lar la suposada subscripció, hauran de trucar a un número de telèfon proporcionat. Els operadors telefònics treballen per als ciberdelinqüents i utilitzaran diverses tàctiques d'enginyeria social per convèncer la víctima perquè els proporcioni accés remot a l'ordinador. El programari instal·lat serveix com a punt d'accés inicial a la xarxa interna de l'empresa.

Quan l'amenaça Royal Ransomware es desplega i s'executa als dispositius de les víctimes, xifrarà una part important de les dades emmagatzemades allà. Tots els fitxers bloquejats tindran ".royal" afegit als seus noms originals. L'amenaça és capaç de xifrar els fitxers de disc virtual (VMDK) associats a les màquines virtuals. Quan s'hagin processat les dades de destinació, l'amenaça de ransomware procedirà a lliurar la seva nota de rescat. El missatge dels pirates informàtics s'eliminarà com a fitxer "README.TXT" als sistemes violats, a més de ser imprès per qualsevol impressora connectada a la xarxa corporativa.

La nota de rescat estableix que les víctimes han d'establir contacte amb els ciberdelinqüents visitant el seu lloc web dedicat allotjat a la xarxa TOR. El lloc consisteix principalment en un servei de xat per parlar amb els pirates informàtics. Les víctimes solen enviar un parell de fitxers per desxifrar-los de forma gratuïta com a demostració. Tot i que el grup Royal Ransomware afirma recopilar dades confidencials de les seves víctimes en un esquema de doble extorsió, fins ara no s'ha descobert cap lloc de filtració de dades.