Royal Ransomware

Royal Ransomware는 비교적 새로운 사이버 범죄 그룹에 속합니다. 처음에 해커는 다른 유사한 공격 그룹의 암호화 도구를 사용했지만 이후에는 자신의 도구를 사용하게 되었습니다. 이 그룹은 기업체를 표적으로 삼고 $250,000에서 최대 $2백만에 이르는 몸값을 요구합니다. Royal Ransomware 그룹의 눈에 띄는 특징은 RaaS(Ransomware-as-a-Service)로 운영되지 않고 계열사가 없는 완전 비공개 그룹이라는 것입니다.

궁극적으로 Royal Ransomware 위협의 배포로 끝나는 감염 체인은 표적 피싱 공격으로 시작됩니다. 위협 행위자는 콜백 피싱으로 알려진 것을 활용하여 대상을 손상시킵니다. 그들은 합법적인 음식 배달 서비스나 소프트웨어 제품에 대한 가짜 구독 갱신에 대한 미끼 이메일을 보내는 것으로 시작합니다. 피해자는 예정된 구독을 취소하려면 제공된 전화번호로 전화해야 한다고 들었습니다. 전화 교환원은 사이버 범죄자를 위해 일하며 다양한 사회 공학 전술을 사용하여 피해자에게 컴퓨터에 대한 원격 액세스를 제공하도록 설득합니다. 설치된 소프트웨어는 내부 기업 네트워크에 대한 초기 액세스 지점 역할을 합니다.

Royal Ransomware 위협이 피해자의 장치에 배포되고 실행되면 거기에 저장된 데이터의 상당 부분을 암호화합니다. 잠긴 모든 파일에는 원래 이름에 '.royal'이 추가됩니다. 위협 요소는 가상 머신과 연결된 VMDK(가상 디스크 파일)를 암호화할 수 있습니다. 대상 데이터가 처리되면 랜섬웨어 위협이 계속해서 랜섬 노트를 전달합니다. 해커의 메시지는 침해된 시스템에 'README.TXT' 파일로 삭제되고 기업 네트워크에 연결된 모든 프린터에서 인쇄됩니다.

몸값 메모에는 피해자가 TOR 네트워크에서 호스팅되는 전용 웹사이트를 방문하여 사이버 범죄자와 연락을 취해야 한다고 명시되어 있습니다. 이 사이트는 대부분 해커와 대화할 수 있는 채팅 서비스로 구성되어 있습니다. 피해자는 일반적으로 데모용으로 무료로 해독할 몇 개의 파일을 보낼 수 있습니다. Royal Ransomware 그룹은 이중 갈취 방식으로 피해자로부터 기밀 데이터를 수집한다고 주장하지만 현재까지 데이터 유출 사이트는 발견되지 않았습니다.