Royal Ransomware
Royal Ransomware kuuluu suhteellisen uuteen kyberrikollisuusryhmään. Aluksi hakkerit käyttivät muiden vastaavien hyökkäysryhmien salaustyökaluja, mutta ovat sittemmin siirtyneet käyttämään omia. Ryhmä tavoittelee yrityskokonaisuuksia ja vaatii lunnaiden maksamista 250 000 dollarista aina 2 miljoonaan dollariin. Royal Ransomware -ryhmän merkittävä ominaisuus on, että se ei toimi RaaS:na (Ransomware-as-a-Service) ja on sen sijaan täysin yksityinen ryhmä ilman tytäryhtiöitä.
Tartuntaketju, joka lopulta päättyy Royal Ransomware -uhan käyttöön, alkaa kohdistetuilla tietojenkalasteluhyökkäyksillä. Uhkatoimijat käyttävät ns. takaisinsoittojen tietojenkalastelua vaarantaakseen kohteensa. He alkavat lähettämällä houkutussähköposteja laillisen ruoan toimituspalvelun tai ohjelmistotuotteen vääristä tilausten uusimisesta. Uhreille kerrotaan, että oletetun tilauksen peruuttamiseksi heidän on soitettava annettuun puhelinnumeroon. Puhelinoperaattorit työskentelevät kyberrikollisille ja käyttävät erilaisia sosiaalisen suunnittelun taktiikoita vakuuttaakseen uhrin tarjoamaan heille etäyhteyden tietokoneeseen. Asennettu ohjelmisto toimii ensimmäisenä tukiasemana yrityksen sisäiseen verkkoon.
Kun Royal Ransomware -uhka otetaan käyttöön ja suoritetaan uhrien laitteissa, se salaa merkittävän osan sinne tallennetusta tiedosta. Kaikkien lukittujen tiedostojen alkuperäisiin nimiin on liitetty .royal. Uhka pystyy salaamaan virtuaalikoneen liittyvät virtuaalilevytiedostot (VMDK). Kun kohdennetut tiedot on käsitelty, lunnasohjelmauhka toimittaa lunnaita. Hakkereiden viesti pudotetaan "README.TXT"-tiedostona rikottuihin järjestelmiin, minkä lisäksi ne tulostetaan yrityksen verkkoon kytketyillä tulostimilla.
Lunnasmuistiossa todetaan, että uhrien on otettava yhteyttä kyberrikollisiin vierailemalla heidän omalla verkkosivustollaan, joka isännöi TOR-verkkoa. Sivusto koostuu enimmäkseen chat-palvelusta, jolla voit keskustella hakkereiden kanssa. Uhrit voivat yleensä lähettää muutaman tiedoston salauksen purkamiseen ilmaiseksi esittelynä. Vaikka Royal Ransomware -ryhmä väittää keräävänsä luottamuksellisia tietoja uhreiltaan kaksoiskiristysjärjestelmässä, toistaiseksi mitään tietovuotopaikkaa ei ole löydetty.
