Royal Ransomware
باج افزار رویال متعلق به یک گروه جرایم سایبری نسبتاً جدید است. در ابتدا، هکرها از ابزارهای رمزگذار سایر گروههای حمله مشابه استفاده میکردند، اما از آن زمان به سمت استفاده از ابزارهای خود حرکت کردند. این گروه نهادهای شرکتی را هدف قرار داده و خواستار پرداخت باج از 250000 دلار تا 2 میلیون دلار است. یکی از ویژگی های قابل توجه گروه رویال باج افزار این است که به عنوان یک RaaS (باج افزار به عنوان یک سرویس) عمل نمی کند و در عوض، یک گروه کاملا خصوصی بدون هیچ گونه وابسته است.
زنجیره عفونت که در نهایت با استقرار تهدید باج افزار سلطنتی به پایان می رسد، با حملات فیشینگ هدفمند آغاز می شود. عوامل تهدید از چیزی که به عنوان callback phishing شناخته می شود برای به خطر انداختن اهداف خود استفاده می کنند. آنها با ارسال ایمیل های فریبنده درباره تمدید اشتراک جعلی برای یک سرویس تحویل غذا یا محصول نرم افزاری قانونی شروع می کنند. به قربانیان گفته می شود که برای لغو اشتراک فرضی، باید با شماره تلفن ارائه شده تماس بگیرند. اپراتورهای تلفن برای مجرمان سایبری کار می کنند و از تاکتیک های مختلف مهندسی اجتماعی استفاده می کنند تا قربانی را متقاعد کنند که دسترسی از راه دور به رایانه را برای آنها فراهم کند. نرم افزار نصب شده به عنوان نقطه دسترسی اولیه به شبکه داخلی شرکت عمل می کند.
هنگامی که تهدید باجافزار سلطنتی روی دستگاههای قربانیان مستقر و اجرا میشود، بخش قابل توجهی از دادههای ذخیره شده در آنجا را رمزگذاری میکند. همه فایل های قفل شده دارای ".royal" به نام اصلی خود خواهند بود. این تهدید میتواند فایلهای دیسک مجازی (VMDK) مرتبط با ماشینهای مجازی را رمزگذاری کند. هنگامی که داده های مورد نظر پردازش شدند، تهدید باج افزار اقدام به ارائه یادداشت باج خود می کند. پیام هکرها به عنوان یک فایل "README.TXT" در سیستم های نقض شده حذف می شود و در کنار چاپگرهای متصل به شبکه شرکت چاپ می شود.
در یادداشت باج آمده است که قربانیان باید با مراجعه به وب سایت اختصاصی آنها که در شبکه TOR میزبانی شده است، با مجرمان سایبری ارتباط برقرار کنند. این سایت بیشتر از یک سرویس چت برای گفتگو با هکرها تشکیل شده است. قربانیان معمولاً می توانند چند فایل را برای رمزگشایی رایگان به عنوان نمایش ارسال کنند. اگرچه گروه باجافزار رویال ادعا میکند که دادههای محرمانه قربانیان خود را در یک طرح اخاذی مضاعف جمعآوری میکند، اما تاکنون هیچ سایتی برای نشت اطلاعات کشف نشده است.