Royal Ransomware

Royal Ransomware aparține unui grup relativ nou de criminalitate cibernetică. Inițial, hackerii au folosit instrumentele de criptare ale altor grupuri de atac similare, dar de atunci au trecut la utilizarea propriilor lor. Grupul vizează entități corporative și solicită plata unei răscumpări care variază de la 250.000 USD până la 2 milioane USD. O caracteristică notabilă a grupului Royal Ransomware este că nu funcționează ca un RaaS (Ransomware-as-a-Service) și este, în schimb, un grup complet privat, fără afiliați.

Lanțul de infecții care se termină în cele din urmă cu implementarea amenințării Royal Ransomware, începe cu atacuri de phishing direcționate. Actorii amenințărilor folosesc ceea ce este cunoscut sub numele de callback phishing pentru a-și compromite țintele. Încep prin a trimite e-mail-uri despre reînnoiri false de abonament pentru un serviciu de livrare de alimente sau un produs software legitim. Victimelor li se spune că, pentru a anula presupusul abonament, vor trebui să sune la un număr de telefon furnizat. Operatorii de telefonie lucrează pentru infractorii cibernetici și vor folosi diverse tactici de inginerie socială pentru a convinge victima să le ofere acces de la distanță la computer. Software-ul instalat servește ca punct de acces inițial la rețeaua internă corporativă.

Când amenințarea Royal Ransomware este implementată și executată pe dispozitivele victimelor, aceasta va cripta o parte semnificativă a datelor stocate acolo. Toate fișierele blocate vor avea „.royal” atașat la numele lor originale. Amenințarea este capabilă să cripteze fișierele de disc virtual (VMDK) asociate mașinilor virtuale. Când datele vizate au fost procesate, amenințarea ransomware va continua să livreze nota de răscumpărare. Mesajul hackerilor va fi aruncat sub formă de fișier „README.TXT” pe sistemele încălcate, pe lângă care va fi imprimat de orice imprimante conectate la rețeaua corporativă.

Nota de răscumpărare prevede că victimele trebuie să stabilească contactul cu infractorii cibernetici vizitând site-ul lor dedicat, găzduit în rețeaua TOR. Site-ul constă în principal dintr-un serviciu de chat pentru a discuta cu hackerii. Victimele pot trimite, de obicei, câteva fișiere pentru a fi decriptate gratuit, ca demonstrație. Deși grupul Royal Ransomware pretinde că colectează date confidențiale de la victimele lor într-o schemă de dublă extorcare, până acum nu a fost descoperit niciun site de scurgeri de date.