Royal Ransomware
Royal Ransomware kuulub suhteliselt uude küberkuritegevuse gruppi. Esialgu kasutasid häkkerid teiste sarnaste ründerühmade krüpteerimistööriistu, kuid on sellest ajast alates hakanud kasutama omaenda tööriistu. Grupp sihib ettevõtteid ja nõuab lunaraha maksmist alates 250 000 dollarist kuni 2 miljoni dollarini. Royal Ransomware grupi märkimisväärne omadus on see, et see ei tööta RaaS-na (Ransomware-as-a-Service) ja on selle asemel täiesti privaatne grupp, millel puuduvad sidusettevõtted.
Nakkusahel, mis lõpuks lõpeb Royal Ransomware ohu kasutuselevõtuga, algab sihitud andmepüügirünnakutega. Ohutegurid kasutavad oma sihtmärkide ohustamiseks nn tagasihelistamist. Alustuseks saadavad nad meelitusmeile seadusliku toidu kohaletoimetamise teenuse või tarkvaratoote võltsitud tellimuse uuendamise kohta. Ohvritele öeldakse, et eeldatava tellimuse tühistamiseks peavad nad helistama antud telefoninumbril. Telefonioperaatorid töötavad küberkurjategijate heaks ja kasutavad erinevaid sotsiaalinseneri taktikaid, et veenda ohvrit võimaldama neile arvutile kaugjuurdepääsu. Installitud tarkvara toimib ettevõtte sisevõrgu esialgse pääsupunktina.
Kui kuninglik lunavara oht võetakse kasutusele ja täidetakse ohvrite seadmetes, krüpteerib see olulise osa sinna salvestatud andmetest. Kõikidele lukustatud failidele lisatakse nende algsele nimele ".royal". Oht on võimeline krüpteerima virtuaalmasinatega seotud virtuaalse ketta faile (VMDK). Kui sihitud andmed on töödeldud, edastab lunavaraoht oma lunaraha. Häkkerite sõnum kuvatakse rikutud süsteemides failina README.TXT, lisaks prinditakse see välja kõigi ettevõtte võrku ühendatud printerite poolt.
Lunarahakirjas öeldakse, et ohvrid peavad looma küberkurjategijatega kontakti, külastades nende spetsiaalset veebisaiti, mida majutatakse TOR-võrgus. Sait koosneb enamasti vestlusteenusest häkkeritega rääkimiseks. Ohvrid saavad tavaliselt saata paar faili, mis dekrüpteeritakse tasuta, demonstratsiooniks. Kuigi grupp Royal Ransomware väidab, et kogub oma ohvritelt topeltväljapressimise skeemi raames konfidentsiaalseid andmeid, pole seni ühtegi andmelekkekohta avastatud.
