Royal Ransomware

Το Royal Ransomware ανήκει σε μια σχετικά νέα ομάδα εγκλήματος στον κυβερνοχώρο. Αρχικά, οι χάκερ χρησιμοποίησαν τα εργαλεία κρυπτογράφησης άλλων παρόμοιων ομάδων επίθεσης, αλλά από τότε έχουν προχωρήσει στη χρήση των δικών τους. Η ομάδα στοχεύει εταιρικές οντότητες και απαιτεί την πληρωμή λύτρων που κυμαίνονται από 250.000 $ έως 2 εκατομμύρια $. Ένα αξιοσημείωτο χαρακτηριστικό της ομάδας Royal Ransomware είναι ότι δεν λειτουργεί ως RaaS (Ransomware-as-a-Service) και είναι, αντίθετα, μια εξ ολοκλήρου ιδιωτική ομάδα χωρίς θυγατρικές.

Η αλυσίδα μόλυνσης που τελικά τελειώνει με την ανάπτυξη της απειλής Royal Ransomware, ξεκινά με στοχευμένες επιθέσεις phishing. Οι φορείς απειλών χρησιμοποιούν αυτό που είναι γνωστό ως επανάκληση ηλεκτρονικού ψαρέματος (phishing) για να θέσουν σε κίνδυνο τους στόχους τους. Ξεκινούν στέλνοντας δελεαστικά μηνύματα ηλεκτρονικού ταχυδρομείου σχετικά με ψευδείς ανανεώσεις συνδρομής για μια νόμιμη υπηρεσία παράδοσης τροφίμων ή προϊόν λογισμικού. Τα θύματα ενημερώνονται ότι για να ακυρώσουν την υποτιθέμενη συνδρομή, θα πρέπει να καλέσουν έναν αριθμό τηλεφώνου που παρέχεται. Οι τηλεφωνητές εργάζονται για τους κυβερνοεγκληματίες και θα χρησιμοποιήσουν διάφορες τακτικές κοινωνικής μηχανικής για να πείσουν το θύμα να του παρέχει απομακρυσμένη πρόσβαση στον υπολογιστή. Το εγκατεστημένο λογισμικό χρησιμεύει ως το αρχικό σημείο πρόσβασης στο εσωτερικό εταιρικό δίκτυο.

Όταν η απειλή Royal Ransomware αναπτυχθεί και εκτελεστεί στις συσκευές των θυμάτων, θα κρυπτογραφήσει ένα σημαντικό μέρος των δεδομένων που είναι αποθηκευμένα εκεί. Όλα τα κλειδωμένα αρχεία θα έχουν ".royal" προσαρτημένο στο αρχικό τους όνομα. Η απειλή είναι ικανή να κρυπτογραφήσει τα αρχεία εικονικού δίσκου (VMDK) που σχετίζονται με εικονικές μηχανές. Όταν τα στοχευμένα δεδομένα υποβληθούν σε επεξεργασία, η απειλή ransomware θα προχωρήσει στην παράδοση της σημείωσης λύτρων. Το μήνυμα των χάκερ θα απορριφθεί ως αρχείο «README.TXT» στα συστήματα που έχουν παραβιαστεί, παράλληλα με την εκτύπωση από τυχόν εκτυπωτές που είναι συνδεδεμένοι στο εταιρικό δίκτυο.

Το σημείωμα λύτρων αναφέρει ότι τα θύματα πρέπει να έρθουν σε επαφή με τους κυβερνοεγκληματίες επισκεπτόμενοι τον αποκλειστικό τους ιστότοπο που φιλοξενείται στο δίκτυο TOR. Ο ιστότοπος αποτελείται κυρίως από μια υπηρεσία συνομιλίας για συνομιλία με τους χάκερ. Τα θύματα μπορούν συνήθως να στείλουν μερικά αρχεία για να αποκρυπτογραφηθούν δωρεάν ως επίδειξη. Αν και η ομάδα Royal Ransomware ισχυρίζεται ότι συλλέγει εμπιστευτικά δεδομένα από τα θύματά της σε ένα σύστημα διπλής εκβίασης, μέχρι στιγμής δεν έχει ανακαλυφθεί ιστότοπος διαρροής δεδομένων.