Royal Ransomware

Royal Ransomware patrí do relatívne novej skupiny počítačovej kriminality. Spočiatku hackeri používali šifrovacie nástroje iných podobných útočných skupín, ale odvtedy prešli na svoje vlastné. Skupina sa zameriava na právnické osoby a požaduje zaplatenie výkupného v rozmedzí od 250 000 dolárov až po 2 milióny dolárov. Pozoruhodnou charakteristikou skupiny Royal Ransomware je, že nepracuje ako RaaS (Ransomware-as-a-Service) a namiesto toho je to úplne súkromná skupina bez akýchkoľvek pridružených spoločností.

Infekčný reťazec, ktorý nakoniec končí nasadením hrozby Royal Ransomware, začína cielenými phishingovými útokmi. Aktéri hrozieb využívajú takzvaný callback phishing na kompromitovanie svojich cieľov. Začínajú posielaním e-mailov s návnadou o falošnom obnovení predplatného pre legitímnu službu donášky jedla alebo softvérový produkt. Obetiam bolo povedané, že na zrušenie údajného predplatného budú musieť zavolať na poskytnuté telefónne číslo. Telefonickí operátori pracujú pre kyberzločincov a pomocou rôznych taktík sociálneho inžinierstva presvedčia obeť, aby im poskytla vzdialený prístup k počítaču. Nainštalovaný softvér slúži ako počiatočný prístupový bod do internej podnikovej siete.

Keď je hrozba Royal Ransomware nasadená a spustená na zariadeniach obetí, zašifruje významnú časť tam uložených údajov. Všetky zamknuté súbory budú mať k ich pôvodným menám pridaný „.royal“. Hrozba je schopná zašifrovať súbory virtuálneho disku (VMDK) spojené s virtuálnymi strojmi. Po spracovaní cieľových údajov bude hrozba ransomvéru pokračovať v doručení výkupného. Hackerská správa bude v napadnutých systémoch zahodená ako súbor 'README.TXT' a zároveň bude vytlačená všetkými tlačiarňami pripojenými k podnikovej sieti.

V oznámení o výkupnom sa uvádza, že obete musia nadviazať kontakt s kyberzločincami návštevou ich vyhradenej webovej stránky hosťovanej v sieti TOR. Stránka väčšinou pozostáva z chatovej služby na rozhovor s hackermi. Obete môžu zvyčajne poslať niekoľko súborov na dešifrovanie zadarmo ako ukážku. Hoci skupina Royal Ransomware tvrdí, že zbiera dôverné údaje od svojich obetí v rámci schémy dvojitého vydierania, zatiaľ nebolo objavené žiadne miesto úniku údajov.