Royal Ransomware

Royal Ransomware שייכת לקבוצת פשעי סייבר חדשה יחסית. בתחילה, ההאקרים השתמשו בכלי ההצפנה של קבוצות תקיפה דומות אחרות, אך מאז עברו להשתמש בכלים שלהם. הקבוצה מכוונת לגופים תאגידיים ודורשת תשלום כופר שנע בין 250,000 דולר עד 2 מיליון דולר. מאפיין בולט של קבוצת Royal Ransomware הוא שהיא אינה פועלת כ-RaaS (Ransomware-as-a-Service) והיא, במקום זאת, קבוצה פרטית לחלוטין ללא כל שותפים.

שרשרת ההדבקה שמסתיימת בסופו של דבר עם פריסת האיום Royal Ransomware, מתחילה בהתקפות פישינג ממוקדות. שחקני האיום משתמשים במה שמכונה דיוג מסוג callback כדי להתפשר על המטרות שלהם. הם מתחילים בשליחת דוא"ל פיתוי על חידושי מנויים מזויפים לשירות משלוחי מזון או מוצר תוכנה לגיטימיים. נאמר לקורבנות שכדי לבטל את המנוי כביכול, הם יצטרכו להתקשר למספר טלפון שסופק. מפעילי הטלפון עובדים עבור פושעי הסייבר וישתמשו בטקטיקות שונות של הנדסה חברתית כדי לשכנע את הקורבן לספק להם גישה מרחוק למחשב. התוכנה המותקנת משמשת כנקודת הגישה הראשונית לרשת הארגונית הפנימית.

כאשר האיום Royal Ransomware ייפרס ויתבצע במכשירים של הקורבנות, הוא יצפין חלק ניכר מהנתונים המאוחסנים שם. לכל הקבצים הנעולים יצורף '.royal' לשמותיהם המקוריים. האיום מסוגל להצפין את קבצי הדיסק הווירטואלי (VMDK) המשויכים למכונות וירטואליות. לאחר עיבוד הנתונים הממוקדים, איום תוכנת הכופר ימשיך לספק את הערת הכופר שלו. הודעת ההאקרים תוסר כקובץ 'README.TXT' במערכות הפורצות, לצד הדפסה על ידי כל המדפסות המחוברות לרשת הארגונית.

בתעודת הכופר נכתב כי על הקורבנות ליצור קשר עם פושעי הסייבר על ידי ביקור באתר האינטרנט הייעודי שלהם המאוחסן ברשת TOR. האתר מורכב בעיקר משירות צ'אט לשיחה עם ההאקרים. קורבנות יכולים בדרך כלל לשלוח כמה קבצים לפענוח בחינם כהדגמה. למרות שקבוצת Royal Ransomware טוענת שהיא אוספת נתונים סודיים מקורבנותיה במסגרת תוכנית סחיטה כפולה, עד כה לא התגלה אתר דליפות נתונים.