Royal Ransomware

Royal Ransomware patří do relativně nové skupiny počítačové kriminality. Zpočátku hackeři používali šifrovací nástroje jiných podobných útočných skupin, ale od té doby přešli k používání svých vlastních. Skupina se zaměřuje na korporátní subjekty a požaduje zaplacení výkupného v rozmezí od 250 000 USD až po 2 miliony USD. Pozoruhodnou charakteristikou skupiny Royal Ransomware je, že nepracuje jako RaaS (Ransomware-as-a-Service) a místo toho je zcela soukromou skupinou bez jakýchkoli přidružených společností.

Infekční řetězec, který nakonec končí nasazením hrozby Royal Ransomware, začíná cílenými phishingovými útoky. Aktéři hrozeb využívají ke kompromitování svých cílů takzvaný phishing se zpětným voláním. Začínají zasláním e-mailů s návnadou o falešném obnovení předplatného pro legitimní službu doručování potravin nebo softwarový produkt. Obětem bylo řečeno, že pro zrušení předpokládaného předplatného budou muset zavolat na poskytnuté telefonní číslo. Telefonní operátoři pracují pro kyberzločince a používají různé taktiky sociálního inženýrství, aby přesvědčili oběť, aby jim poskytla vzdálený přístup k počítači. Nainstalovaný software slouží jako počáteční přístupový bod do interní podnikové sítě.

Když je hrozba Royal Ransomware nasazena a spuštěna na zařízeních obětí, zašifruje významnou část tam uložených dat. Všechny zamknuté soubory budou mít ke svému původnímu názvu připojeno '.royal'. Hrozba je schopna zašifrovat soubory virtuálního disku (VMDK) spojené s virtuálními počítači. Jakmile budou cílená data zpracována, hrozba ransomwaru bude pokračovat v doručení výkupného. Zpráva hackerů bude odstraněna jako soubor „README.TXT“ na prolomených systémech a zároveň bude vytištěna na všech tiskárnách připojených k podnikové síti.

Výkupné uvádí, že oběti musí navázat kontakt s kyberzločinci návštěvou jejich vyhrazené webové stránky hostované v síti TOR. Tato stránka se většinou skládá z chatovací služby pro rozhovory s hackery. Oběti mohou obvykle poslat několik souborů k dešifrování zdarma jako ukázku. Přestože skupina Royal Ransomware tvrdí, že shromažďuje důvěrná data od svých obětí v rámci schématu dvojitého vydírání, dosud nebylo objeveno žádné místo úniku dat.