Royal Ransomware

Royal Ransomware tergolong dalam kumpulan jenayah siber yang agak baharu. Pada mulanya, penggodam menggunakan alat penyulitan kumpulan serangan serupa yang lain tetapi sejak itu telah beralih menggunakan alat mereka sendiri. Kumpulan itu menyasarkan entiti korporat dan menuntut pembayaran wang tebusan antara $250,000 sehingga $2 juta. Ciri yang ketara bagi kumpulan Royal Ransomware ialah ia tidak beroperasi sebagai RaaS (Ransomware-as-a-Service) dan sebaliknya, merupakan kumpulan persendirian sepenuhnya tanpa sebarang sekutu.

Rantaian jangkitan yang akhirnya berakhir dengan penggunaan ancaman Royal Ransomware, bermula dengan serangan pancingan data yang disasarkan. Pelaku ancaman menggunakan apa yang dikenali sebagai pancingan panggilan balik untuk menjejaskan sasaran mereka. Mereka bermula dengan menghantar e-mel menarik tentang pembaharuan langganan palsu untuk perkhidmatan penghantaran makanan atau produk perisian yang sah. Mangsa diberitahu bahawa untuk membatalkan langganan yang sepatutnya, mereka perlu menghubungi nombor telefon yang diberikan. Pengendali telefon bekerja untuk penjenayah siber dan akan menggunakan pelbagai taktik kejuruteraan sosial untuk meyakinkan mangsa supaya memberikan mereka akses jauh ke komputer. Perisian yang dipasang berfungsi sebagai titik akses awal kepada rangkaian korporat dalaman.

Apabila ancaman Royal Ransomware digunakan dan dilaksanakan pada peranti mangsa, ia akan menyulitkan sebahagian besar data yang disimpan di sana. Semua fail yang dikunci akan mempunyai '.royal' yang dilampirkan pada nama asalnya. Ancaman ini mampu menyulitkan fail cakera maya (VMDK) yang dikaitkan dengan mesin maya. Apabila data yang disasarkan telah diproses, ancaman ransomware akan meneruskan untuk menyampaikan nota tebusannya. Mesej penggodam akan digugurkan sebagai fail 'README.TXT' pada sistem yang dilanggar, di samping dicetak oleh mana-mana pencetak yang disambungkan ke rangkaian korporat.

Nota tebusan menyatakan bahawa mangsa mesti menjalin hubungan dengan penjenayah siber dengan melawati laman web khusus mereka yang dihoskan pada rangkaian TOR. Laman web ini kebanyakannya terdiri daripada perkhidmatan sembang untuk bercakap dengan penggodam. Mangsa biasanya boleh menghantar beberapa fail untuk dinyahsulit secara percuma sebagai demonstrasi. Walaupun kumpulan Royal Ransomware mendakwa mengumpul data sulit daripada mangsa mereka dalam skim pemerasan berganda, setakat ini tiada tapak kebocoran data ditemui.