Royal Ransomware

Royal Ransomware tilhører en relativt ny cyberkriminalitetsgruppe. Til å begynne med brukte hackerne krypteringsverktøyene til andre lignende angrepsgrupper, men har siden da gått videre til å bruke sine egne. Gruppen retter seg mot bedrifter og krever betaling av løsepenger som varierer fra $250 000 hele veien opp til $2 millioner. Et bemerkelsesverdig kjennetegn ved Royal Ransomware-gruppen er at den ikke fungerer som en RaaS (Ransomware-as-a-Service) og i stedet er en helt privat gruppe uten tilknyttede selskaper.

Infeksjonskjeden som til slutt slutter med utplasseringen av Royal Ransomware-trusselen, begynner med målrettede phishing-angrep. Trusselaktørene bruker det som er kjent som callback-phishing for å kompromittere målene sine. De begynner med å sende lokke-e-poster om falske abonnementsfornyelser for en legitim matleveringstjeneste eller programvareprodukt. Ofrene blir fortalt at for å kansellere det antatte abonnementet, må de ringe et oppgitt telefonnummer. Telefonoperatørene jobber for nettkriminelle og vil bruke ulike sosiale ingeniør-taktikker for å overbevise offeret om å gi dem ekstern tilgang til datamaskinen. Den installerte programvaren fungerer som det første tilgangspunktet til det interne bedriftsnettverket.

Når Royal Ransomware-trusselen distribueres og utføres på ofrenes enheter, vil den kryptere en betydelig del av dataene som er lagret der. Alle låste filer vil ha '.royal' vedlagt sine originale navn. Trusselen er i stand til å kryptere de virtuelle diskfilene (VMDK) knyttet til virtuelle maskiner. Når de målrettede dataene har blitt behandlet, vil løsepengevare-trusselen fortsette å levere løsepengene. Hackernes melding vil bli slettet som en 'README.TXT'-fil på de overtrådte systemene, i tillegg til å bli skrevet ut av alle skrivere som er koblet til bedriftens nettverk.

Løsepengene sier at ofre må etablere kontakt med nettkriminelle ved å besøke deres dedikerte nettside som er vert på TOR-nettverket. Nettstedet består for det meste av en chat-tjeneste for å snakke med hackerne. Ofre kan vanligvis sende et par filer som skal dekrypteres gratis som en demonstrasjon. Selv om Royal Ransomware-gruppen hevder å samle inn konfidensielle data fra ofrene sine i en dobbel utpressingsordning, har så langt ingen datalekkasje blitt oppdaget.