Royal Ransomware

„Royal Ransomware“ priklauso palyginti naujai elektroninių nusikaltimų grupei. Iš pradžių įsilaužėliai naudojo kitų panašių atakų grupių šifravimo įrankius, tačiau nuo to laiko pradėjo naudoti savo. Grupė taikosi į verslo subjektus ir reikalauja sumokėti išpirką nuo 250 000 USD iki 2 mln. Ypatinga „Royal Ransomware“ grupės savybė yra ta, kad ji neveikia kaip „RaaS“ („Ransomware-as-a-Service“), o yra visiškai privati grupė be jokių filialų.

Užsikrėtimo grandinė, kuri galiausiai baigiasi Royal Ransomware grėsmės diegimu, prasideda nuo tikslinių sukčiavimo atakų. Grėsmių subjektai naudoja vadinamąjį atgalinį sukčiavimą, kad pakenktų savo tikslams. Pirmiausia jie siunčia viliojančiuosius el. laiškus apie fiktyvų teisėto maisto pristatymo paslaugos ar programinės įrangos produkto prenumeratos atnaujinimą. Nukentėjusiesiems pranešama, kad norėdami atšaukti tariamą abonementą, jie turės paskambinti nurodytu telefono numeriu. Telefonų operatoriai dirba kibernetiniams nusikaltėliams ir naudos įvairias socialines inžinerijos taktikas, kad įtikintų auką suteikti jiems nuotolinę prieigą prie kompiuterio. Įdiegta programinė įranga yra pradinis prieigos prie vidinio įmonės tinklo taškas.

Kai „Royal Ransomware“ grėsmė bus įdiegta ir vykdoma aukų įrenginiuose, ji užšifruos didelę dalį ten saugomų duomenų. Prie visų užrakintų failų pradinių pavadinimų bus pridėtas „.royal“. Grėsmė gali užšifruoti virtualaus disko failus (VMDK), susietus su virtualiosiomis mašinomis. Kai tiksliniai duomenys bus apdoroti, išpirkos reikalaujančios programos grėsmė pateiks išpirkos raštą. Įsilaužėlių pranešimas bus išmestas kaip „README.TXT“ failas pažeistose sistemose, kartu bus išspausdintas bet kokių prie įmonės tinklo prijungtų spausdintuvų.

Išpirkos rašte teigiama, kad aukos turi užmegzti ryšį su kibernetiniais nusikaltėliais apsilankydamos jų specialioje svetainėje, esančioje TOR tinkle. Svetainę dažniausiai sudaro pokalbių paslauga, skirta kalbėtis su įsilaužėliais. Aukos paprastai gali nemokamai atsiųsti keletą failų, kad jie būtų iššifruoti kaip demonstravimas. Nors „Royal Ransomware“ grupė teigia renkanti konfidencialius duomenis iš savo aukų pagal dvigubo turto prievartavimo schemą, kol kas duomenų nutekėjimo vietos nebuvo aptikta.