Royal Ransomware
A Royal Ransomware egy viszonylag új kiberbűnözési csoporthoz tartozik. Kezdetben a hackerek más hasonló támadócsoportok titkosító eszközeit használták, de azóta áttértek a sajátjuk használatára. A csoport vállalati szervezeteket céloz meg, és 250 000 dollártól egészen 2 millió dollárig terjedő váltságdíjat követel. A Royal Ransomware csoport figyelemre méltó jellemzője, hogy nem RaaS-ként (Ransomware-as-a-Service) működik, hanem egy teljesen privát csoport, minden leányvállalat nélkül.
A fertőzési lánc, amely végül a Royal Ransomware fenyegetés telepítésével ér véget, célzott adathalász támadásokkal kezdődik. A fenyegetés szereplői az úgynevezett visszahívási adathalászatot használják célpontjaik veszélyeztetésére. Kezdik azzal, hogy csalogató e-maileket küldenek egy törvényes ételszállítási szolgáltatás vagy szoftvertermék hamis előfizetésének megújításáról. Az áldozatoknak azt mondják, hogy a feltételezett előfizetés lemondásához fel kell hívniuk a megadott telefonszámot. A telefonszolgáltatók a kiberbûnözõknek dolgoznak, és különbözõ társadalomfejlesztési taktikákat alkalmaznak, hogy rávegyék az áldozatot, hogy biztosítson számukra távoli hozzáférést a számítógéphez. A telepített szoftver kezdeti hozzáférési pontként szolgál a belső vállalati hálózathoz.
Amikor a Royal Ransomware fenyegetést telepítik és végrehajtják az áldozatok eszközein, az az ott tárolt adatok jelentős részét titkosítja. Minden zárolt fájl eredeti nevéhez .royal lesz hozzáfűzve. A fenyegetés képes titkosítani a virtuális gépekhez kapcsolódó virtuális lemezfájlokat (VMDK). A megcélzott adatok feldolgozása után a ransomware fenyegetés továbbítja a váltságdíjat. A hackerek üzenete „README.TXT” fájlként jelenik meg a feltört rendszereken, és a vállalati hálózathoz csatlakozó nyomtatók kinyomtatják.
A váltságdíj feljegyzése szerint az áldozatoknak kapcsolatba kell lépniük a kiberbûnözõkkel azáltal, hogy ellátogatnak a TOR hálózaton található erre a célra szolgáló webhelyükre. Az oldal többnyire egy chat-szolgáltatásból áll, amellyel a hackerekkel beszélgethet. Az áldozatok demonstrációként általában ingyenesen küldhetnek néhány fájlt visszafejtésre. Bár a Royal Ransomware csoport azt állítja, hogy egy kettős zsarolási rendszer keretében bizalmas adatokat gyűjt áldozataitól, egyelőre nem fedeztek fel adatszivárgási helyet.
