Royal Ransomware

Роиал Рансомваре припада релативно новој групи сајбер криминала. У почетку су хакери користили алате за шифровање других сличних група за напад, али су од тада прешли на коришћење сопствених. Група циља на корпоративне субјекте и захтева исплату откупнине у распону од 250.000 долара па све до 2 милиона долара. Значајна карактеристика групе Роиал Рансомваре је да она не функционише као РааС (Рансомваре-ас-а-Сервице) и уместо тога је потпуно приватна група без икаквих филијала.

Ланац инфекције који се на крају завршава применом претње Роиал Рансомваре, почиње циљаним пхисхинг нападима. Актери претњи користе оно што је познато као пхисхинг за повратни позив да би компромитовали своје мете. Они почињу слањем е-порука о лажном обнављању претплате за легитимну услугу доставе хране или софтверски производ. Жртвама је речено да ће, да би отказали претплату, морати да позову наведени број телефона. Телефонски оператери раде за сајбер криминалце и користиће различите тактике друштвеног инжењеринга да убеде жртву да им омогући даљински приступ рачунару. Инсталирани софтвер служи као почетна приступна тачка интерној корпоративној мрежи.

Када се претња Роиал Рансомваре примени и изврши на уређајима жртава, она ће шифровати значајан део података који се тамо чувају. Сви закључани фајлови ће имати '.роиал' додат њиховим оригиналним именима. Претња је способна да шифрује датотеке виртуелног диска (ВМДК) повезане са виртуелним машинама. Када се циљани подаци обрађују, претња рансомваре-а ће наставити да испоручује своју поруку о откупу. Порука хакера ће бити одбачена као 'РЕАДМЕ.ТКСТ' датотека на проваљеним системима, поред тога што ће је одштампати било који штампач који је повезан на корпоративну мрежу.

У поруци о откупнини се наводи да жртве морају да успоставе контакт са сајбер криминалцима тако што ће посетити њихову наменску веб локацију која се налази на мрежи ТОР. Сајт се углавном састоји од сервиса за ћаскање за разговор са хакерима. Жртве обично могу да пошаљу неколико датотека које треба бесплатно дешифровати као демонстрацију. Иако група Роиал Рансомваре тврди да прикупља поверљиве податке од својих жртава у шеми двоструке изнуде, до сада није откривено ниједно место за цурење података.