Royal Ransomware

Royal Ransomware принадлежит к относительно новой группе киберпреступников. Первоначально хакеры использовали инструменты шифрования других подобных групп атаки, но с тех пор перешли к использованию своих собственных. Группа нацелена на юридические лица и требует выплаты выкупа в размере от 250 000 до 2 миллионов долларов. Примечательной характеристикой группы Royal Ransomware является то, что она не работает как RaaS (программа-вымогатель как услуга), а вместо этого является полностью частной группой без каких-либо филиалов.

Цепочка заражения, которая в конечном итоге заканчивается развертыванием угрозы Royal Ransomware, начинается с целенаправленных фишинговых атак. Злоумышленники используют так называемый обратный фишинг для компрометации своих целей. Они начинают с рассылки соблазнительных электронных писем о фиктивных продлениях подписки на законную службу доставки еды или программный продукт. Жертвам сообщают, что для отмены предполагаемой подписки им нужно будет позвонить по указанному номеру телефона. Телефонные операторы работают на киберпреступников и будут использовать различные тактики социальной инженерии, чтобы убедить жертву предоставить им удаленный доступ к компьютеру. Установленное программное обеспечение служит начальной точкой доступа во внутреннюю корпоративную сеть.

Когда угроза Royal Ransomware развертывается и выполняется на устройствах жертв, она шифрует значительную часть данных, хранящихся там. Ко всем заблокированным файлам к исходным именам добавляется «.royal». Угроза способна шифровать файлы виртуальных дисков (VMDK), связанные с виртуальными машинами. Когда целевые данные будут обработаны, программа-вымогатель продолжит доставлять записку с требованием выкупа. Сообщение хакеров будет сброшено в виде файла «README.TXT» на взломанные системы, а также распечатано на любых принтерах, подключенных к корпоративной сети.

В записке о выкупе говорится, что жертвы должны установить контакт с киберпреступниками, посетив их специальный веб-сайт, размещенный в сети TOR. Сайт в основном состоит из чата для общения с хакерами. Жертвы обычно могут отправить пару файлов для бесплатной расшифровки в качестве демонстрации. Хотя группа Royal Ransomware утверждает, что собирает конфиденциальные данные своих жертв по схеме двойного вымогательства, до сих пор не было обнаружено ни одного места утечки данных.