Royal Ransomware
O Royal Ransomware pertence a um grupo de criminosos cibernéticos relativamente novo. Inicialmente, os hackers usaram as ferramentas de criptografia de outros grupos de ataque semelhantes, mas desde então passaram a usar as suas próprias. O grupo tem como alvo entidades corporativas e exige o pagamento de resgate que varia de US$250.000 até US$2 milhões. Uma característica notável do grupo Royal Ransomware é que ele não opera como um RaaS (Ransomware-as-a-Service) e é, em vez disso, um grupo totalmente privado sem afiliados.
A cadeia de infecção que termina com a implantação da ameaça Royal Ransomware começa com ataques de phishing direcionados. Os agentes de ameaças utilizam o que é conhecido como phishing de retorno de chamada para comprometer seus alvos. Eles começam enviando e-mails de atração sobre renovações de assinatura falsas para um serviço de entrega de comida legítimo ou produto de software. As vítimas são informadas de que, para cancelar a suposta assinatura, elas terão que ligar para um número de telefone fornecido. As operadoras de telefonia trabalham para os cibercriminosos e usarão várias táticas de engenharia social para convencer a vítima a fornecer acesso remoto ao computador. O software instalado serve como ponto de acesso inicial à rede corporativa interna.
Quando a ameaça do Royal Ransomware é implantada e executada nos dispositivos das vítimas, ela criptografa uma parte significativa dos dados armazenados lá. Todos os arquivos bloqueados terão '.royal' anexado aos seus nomes originais. A ameaça é capaz de criptografar os arquivos de disco virtual (VMDK) associados às máquinas virtuais. Quando os dados direcionados forem processados, a ameaça de ransomware continuará a entregar sua nota de resgate. A mensagem dos hackers será descartada como um arquivo 'README.TXT' nos sistemas violados, além de ser impressa por qualquer impressora conectada à rede corporativa.
A nota de resgate afirma que as vítimas devem estabelecer contato com os cibercriminosos visitando seu site dedicado hospedado na rede TOR. O site consiste principalmente em um serviço de bate-papo para conversar com os hackers. As vítimas geralmente podem enviar alguns arquivos para serem descriptografados gratuitamente como demonstração. Embora o grupo Royal Ransomware afirme coletar dados confidenciais de suas vítimas em um esquema de dupla extorsão, até agora nenhum site de vazamento de dados foi descoberto.