Threat Database Ransomware Royal Ransomware

Royal Ransomware

Royal Ransomware należy do stosunkowo nowej grupy cyberprzestępczej. Początkowo hakerzy wykorzystywali narzędzia szyfrujące innych podobnych grup atakujących, ale od tego czasu zaczęli używać własnych. Grupa atakuje podmioty korporacyjne i żąda zapłaty okupu w wysokości od 250 000 dolarów do 2 milionów dolarów. Godną uwagi cechą grupy Royal Ransomware jest to, że nie działa ona jako RaaS (Ransomware-as-a-Service), a zamiast tego jest całkowicie prywatną grupą bez żadnych podmiotów stowarzyszonych.

Łańcuch infekcji, który ostatecznie kończy się wraz z wdrożeniem zagrożenia Royal Ransomware, zaczyna się od ukierunkowanych ataków phishingowych. Cyberprzestępcy wykorzystują tak zwane wyłudzanie informacji zwrotnej, aby złamać swoje cele. Zaczynają od wysyłania e-maili z przynętą o fałszywych odnowieniach subskrypcji legalnej usługi dostarczania żywności lub oprogramowania. Ofiary są informowane, że aby anulować rzekomą subskrypcję, będą musiały zadzwonić pod podany numer telefonu. Operatorzy telefoniczni pracują dla cyberprzestępców i stosują różne taktyki socjotechniczne, aby przekonać ofiarę do zapewnienia im zdalnego dostępu do komputera. Zainstalowane oprogramowanie służy jako początkowy punkt dostępu do wewnętrznej sieci firmowej.

Gdy zagrożenie Royal Ransomware zostanie wdrożone i uruchomione na urządzeniach ofiar, zaszyfruje znaczną część przechowywanych tam danych. Wszystkie zablokowane pliki będą miały dodany „.royal” do ich oryginalnych nazw. Zagrożenie jest zdolne do szyfrowania plików dysków wirtualnych (VMDK) powiązanych z maszynami wirtualnymi. Po przetworzeniu zaatakowanych danych zagrożenie ransomware przekaże żądanie okupu. Wiadomość hakerów zostanie upuszczona jako plik „README.TXT” w naruszonych systemach, a także wydrukowana przez dowolne drukarki podłączone do sieci korporacyjnej.

W nocie okupu stwierdzono, że ofiary muszą nawiązać kontakt z cyberprzestępcami, odwiedzając ich dedykowaną stronę internetową hostowaną w sieci TOR. Witryna składa się głównie z usługi czatu, w której można rozmawiać z hakerami. Ofiary mogą zwykle wysłać kilka plików do odszyfrowania za darmo jako demonstrację. Chociaż grupa Royal Ransomware twierdzi, że zbiera poufne dane od swoich ofiar w ramach schematu podwójnego wymuszenia, jak dotąd nie odkryto żadnej strony wycieku danych.

Popularne

Najczęściej oglądane

Ładowanie...