Royal Ransomware

The Royal Ransomware behoort tot een relatief nieuwe cybercrimegroep. Aanvankelijk gebruikten de hackers de versleutelingstools van andere vergelijkbare aanvalsgroepen, maar zijn sindsdien overgestapt op hun eigen tools. De groep richt zich op bedrijfsentiteiten en eist de betaling van losgeld variërend van $ 250.000 tot $ 2 miljoen. Een opmerkelijk kenmerk van de Royal Ransomware-groep is dat het niet werkt als een RaaS (Ransomware-as-a-Service) en in plaats daarvan een volledig privégroep is zonder gelieerde ondernemingen.

De infectieketen die uiteindelijk eindigt met de inzet van de Royal Ransomware-dreiging, begint met gerichte phishing-aanvallen. De dreigingsactoren gebruiken zogenaamde callback-phishing om hun doelen in gevaar te brengen. Ze beginnen met het verzenden van e-mails over nepabonnementen voor een legitieme maaltijdbezorgservice of softwareproduct. Slachtoffers krijgen te horen dat ze een opgegeven telefoonnummer moeten bellen om het vermeende abonnement op te zeggen. De telefoonoperators werken voor de cybercriminelen en zullen verschillende social engineering-tactieken gebruiken om het slachtoffer te overtuigen om hen op afstand toegang tot de computer te geven. De geïnstalleerde software dient als het eerste toegangspunt tot het interne bedrijfsnetwerk.

Wanneer de Royal Ransomware-dreiging wordt ingezet en uitgevoerd op de apparaten van de slachtoffers, versleutelt het een aanzienlijk deel van de gegevens die daar zijn opgeslagen. Aan alle vergrendelde bestanden wordt '.royal' toegevoegd aan hun oorspronkelijke naam. De dreiging is in staat om de virtuele schijfbestanden (VMDK) die aan virtuele machines zijn gekoppeld, te versleutelen. Wanneer de gerichte gegevens zijn verwerkt, zal de ransomware-dreiging zijn losgeldbrief afleveren. Het bericht van de hackers zal als een 'README.TXT'-bestand op de gehackte systemen worden geplaatst, naast het afdrukken door alle printers die op het bedrijfsnetwerk zijn aangesloten.

In de losgeldbrief staat dat slachtoffers contact moeten leggen met de cybercriminelen door hun speciale website te bezoeken die wordt gehost op het TOR-netwerk. De site bestaat voornamelijk uit een chatservice om met de hackers te praten. Slachtoffers kunnen meestal een paar bestanden sturen om gratis te worden gedecodeerd als demonstratie. Hoewel de Royal Ransomware-groep beweert vertrouwelijke gegevens van hun slachtoffers te verzamelen in een dubbel afpersingsschema, is er tot nu toe geen dataleksite ontdekt.