Royal Ransomware

Royal Ransomware pieder salīdzinoši jaunai kibernoziedzības grupai. Sākotnēji hakeri izmantoja citu līdzīgu uzbrukuma grupu šifrēšanas rīkus, bet kopš tā laika ir pārgājuši uz savējo. Grupa ir vērsta uz korporatīvajām struktūrām un pieprasa samaksāt izpirkuma maksu no 250 000 USD līdz pat 2 miljoniem USD. Ievērojama Royal Ransomware grupas iezīme ir tā, ka tā nedarbojas kā RaaS (Ransomware-as-a-Service) un tā vietā ir pilnībā privāta grupa bez jebkādiem saistītajiem uzņēmumiem.

Infekcijas ķēde, kas galu galā beidzas ar Royal Ransomware draudu izvietošanu, sākas ar mērķtiecīgiem pikšķerēšanas uzbrukumiem. Apdraudējuma dalībnieki izmanto tā saukto atzvanīšanas pikšķerēšanu, lai apdraudētu savus mērķus. Viņi vispirms nosūta vilinājuma e-pasta ziņojumus par fiktīvu abonementa atjaunošanu likumīgam pārtikas piegādes pakalpojumam vai programmatūras produktam. Cietušajiem tiek paziņots, ka, lai atceltu iespējamo abonementu, viņiem būs jāzvana uz norādīto tālruņa numuru. Telefona operatori strādā kibernoziedznieku labā un izmantos dažādas sociālās inženierijas taktikas, lai pārliecinātu upuri nodrošināt viņiem attālinātu piekļuvi datoram. Instalētā programmatūra kalpo kā sākotnējais piekļuves punkts iekšējam korporatīvajam tīklam.

Kad Royal Ransomware draudi tiek izvietoti un izpildīti upuru ierīcēs, tas šifrēs ievērojamu daļu tur saglabāto datu. Visiem bloķētajiem failiem to sākotnējiem nosaukumiem būs pievienots “.royal”. Draudi spēj šifrēt virtuālo disku failus (VMDK), kas saistīti ar virtuālajām mašīnām. Kad mērķa dati ir apstrādāti, izpirkuma programmatūras draudi turpinās piegādāt izpirkuma maksu. Uzlauztajās sistēmās hakeru ziņojums tiks izmests kā fails README.TXT, kā arī to izdrukās visi korporatīvajam tīklam pievienotie printeri.

Izpirkuma vēstulē teikts, ka upuriem ir jāizveido kontakts ar kibernoziedzniekiem, apmeklējot viņu speciālo vietni, kas mitināta TOR tīklā. Vietne galvenokārt sastāv no tērzēšanas pakalpojuma, lai runātu ar hakeriem. Cietušie parasti demonstrācijas nolūkos var bez maksas nosūtīt dažus failus atšifrēšanai. Lai gan grupa Royal Ransomware apgalvo, ka ievāc konfidenciālus datus no saviem upuriem dubultās izspiešanas shēmā, līdz šim neviena datu noplūdes vieta nav atklāta.