Royal Ransomware

Il Royal Ransomware appartiene a un gruppo di criminalità informatica relativamente nuovo. Inizialmente, gli hacker hanno utilizzato gli strumenti di crittografia di altri gruppi di attacco simili, ma da allora sono passati a utilizzare i propri. Il gruppo prende di mira le entità aziendali e richiede il pagamento di un riscatto che va da $ 250.000 fino a $ 2 milioni. Una caratteristica notevole del gruppo Royal Ransomware è che non opera come RaaS (Ransomware-as-a-Service) ed è, invece, un gruppo interamente privato senza alcuna affiliazione.

La catena di infezione che alla fine termina con l'implementazione della minaccia Royal Ransomware, inizia con attacchi di phishing mirati. Gli attori delle minacce utilizzano il cosiddetto callback phishing per compromettere i propri obiettivi. Iniziano inviando e-mail di richiamo sui rinnovi di abbonamenti fasulli per un servizio di consegna di cibo legittimo o un prodotto software. Alle vittime viene detto che per annullare il presunto abbonamento, dovranno chiamare un numero di telefono fornito. Gli operatori telefonici lavorano per i criminali informatici e utilizzeranno varie tattiche di ingegneria sociale per convincere la vittima a fornire loro l'accesso remoto al computer. Il software installato funge da punto di accesso iniziale alla rete aziendale interna.

Quando la minaccia Royal Ransomware viene implementata ed eseguita sui dispositivi delle vittime, crittograferà una parte significativa dei dati lì archiviati. Tutti i file bloccati avranno '.royal' aggiunto ai loro nomi originali. La minaccia è in grado di crittografare i file del disco virtuale (VMDK) associati alle macchine virtuali. Quando i dati presi di mira sono stati elaborati, la minaccia ransomware procederà a consegnare la richiesta di riscatto. Il messaggio degli hacker verrà rilasciato come file "README.TXT" sui sistemi violati, oltre a essere stampato da qualsiasi stampante collegata alla rete aziendale.

La richiesta di riscatto afferma che le vittime devono stabilire un contatto con i criminali informatici visitando il loro sito Web dedicato ospitato sulla rete TOR. Il sito consiste principalmente in un servizio di chat per parlare con gli hacker. Le vittime di solito possono inviare un paio di file da decrittare gratuitamente come dimostrazione. Sebbene il gruppo Royal Ransomware affermi di raccogliere dati riservati dalle loro vittime in uno schema di doppia estorsione, finora non è stato scoperto alcun sito di fuga di dati.