Royal Ransomware

Royal Ransomware pripada razmeroma novi skupini kibernetskega kriminala. Sprva so hekerji uporabljali šifrirna orodja drugih podobnih napadalnih skupin, nato pa so začeli uporabljati svoja. Skupina cilja na pravne subjekte in zahteva plačilo odkupnine v razponu od 250.000 dolarjev pa vse do 2 milijona dolarjev. Pomembna značilnost skupine Royal Ransomware je, da ne deluje kot RaaS (Ransomware-as-a-Service) in je namesto tega povsem zasebna skupina brez kakršnih koli podružnic.

Veriga okužbe, ki se končno konča z uvedbo grožnje Royal Ransomware, se začne s ciljno usmerjenimi napadi z lažnim predstavljanjem. Akterji groženj uporabljajo tako imenovano lažno predstavljanje s povratnim klicem, da ogrozijo svoje cilje. Začnejo s pošiljanjem mamljivih e-poštnih sporočil o lažnih podaljšanjih naročnine za zakonito storitev dostave hrane ali programski izdelek. Žrtvam sporočajo, da bodo morale za preklic domnevne naročnine poklicati navedeno telefonsko številko. Telefonski operaterji delajo za kibernetske kriminalce in bodo z različnimi taktikami socialnega inženiringa prepričali žrtev, da jim zagotovi oddaljeni dostop do računalnika. Nameščena programska oprema služi kot začetna dostopna točka do notranjega omrežja podjetja.

Ko je grožnja Royal Ransomware razporejena in izvedena na napravah žrtev, bo šifrirala znaten del tam shranjenih podatkov. Vsem zaklenjenim datotekam bo izvirnim imenom dodano '.royal'. Grožnja lahko šifrira datoteke virtualnega diska (VMDK), povezane z virtualnimi stroji. Ko so ciljni podatki obdelani, bo grožnja izsiljevalske programske opreme nadaljevala z dostavo sporočila o odkupnini. Sporočilo hekerjev bo odpadlo kot datoteka »README.TXT« v sistemih, v katerih je prišlo do vdora, poleg tega pa ga bodo natisnili vsi tiskalniki, povezani z omrežjem podjetja.

Obvestilo o odkupnini navaja, da morajo žrtve vzpostaviti stik s kibernetskimi kriminalci tako, da obiščejo njihovo namensko spletno mesto, ki gostuje v omrežju TOR. Spletno mesto je večinoma sestavljeno iz klepetalnice za pogovor s hekerji. Žrtve lahko običajno brezplačno pošljejo nekaj datotek v dešifriranje kot predstavitev. Čeprav skupina Royal Ransomware trdi, da zbira zaupne podatke od svojih žrtev v shemi dvojnega izsiljevanja, doslej ni bilo odkrito nobeno mesto uhajanja podatkov.