Royal Ransomware

Royal Ransomware tilhører en relativt ny cyberkriminalitetsgruppe. Til at begynde med brugte hackerne krypteringsværktøjerne fra andre lignende angrebsgrupper, men er siden da gået videre til at bruge deres egne. Gruppen retter sig mod virksomhedsenheder og kræver betaling af løsepenge fra $250.000 helt op til $2 millioner. Et bemærkelsesværdigt kendetegn ved Royal Ransomware-gruppen er, at den ikke fungerer som en RaaS (Ransomware-as-a-Service) og i stedet er en helt privat gruppe uden tilknyttede selskaber.

Infektionskæden, der i sidste ende ender med implementeringen af Royal Ransomware-truslen, begynder med målrettede phishing-angreb. Trusselsaktørerne bruger det, der er kendt som callback-phishing til at kompromittere deres mål. De begynder med at sende lokke-e-mails om falske abonnementsfornyelser for en legitim madleveringstjeneste eller softwareprodukt. Ofre får at vide, at for at annullere det formodede abonnement, skal de ringe til et oplyst telefonnummer. Telefonoperatørerne arbejder for de cyberkriminelle og vil bruge forskellige socialtekniske taktikker for at overbevise ofret om at give dem fjernadgang til computeren. Den installerede software fungerer som det første adgangspunkt til det interne virksomhedsnetværk.

Når Royal Ransomware-truslen implementeres og udføres på ofrenes enheder, vil den kryptere en betydelig del af de data, der er gemt der. Alle låste filer vil have '.royal' tilføjet deres originale navne. Truslen er i stand til at kryptere de virtuelle diskfiler (VMDK), der er forbundet med virtuelle maskiner. Når de målrettede data er blevet behandlet, vil ransomware-truslen fortsætte med at levere sin løsesumseddel. Hackernes besked vil blive slettet som en 'README.TXT'-fil på de overtrådte systemer, sideløbende med at blive udskrevet af alle printere, der er tilsluttet virksomhedens netværk.

I løsesumsedlen står der, at ofrene skal etablere kontakt med de cyberkriminelle ved at besøge deres dedikerede hjemmeside, der er hostet på TOR-netværket. Siden består for det meste af en chattjeneste til at tale med hackerne. Ofre kan normalt sende et par filer, der skal dekrypteres gratis som en demonstration. Selvom Royal Ransomware-gruppen hævder at indsamle fortrolige data fra deres ofre i en dobbeltafpresningsordning, er der indtil videre ikke blevet opdaget et datalækagested.