Royal Ransomware

Royal Ransomware tillhör en relativt ny cyberbrottsgrupp. Inledningsvis använde hackarna krypteringsverktygen från andra liknande attackgrupper men har sedan dess gått vidare till att använda sina egna. Gruppen riktar sig till företagsenheter och kräver betalning av lösensumma som sträcker sig från $250 000 hela vägen upp till $2 miljoner. En anmärkningsvärd egenskap hos Royal Ransomware-gruppen är att den inte fungerar som en RaaS (Ransomware-as-a-Service) utan är istället en helt privat grupp utan några affiliates.

Infektionskedjan som slutligen slutar med utplaceringen av Royal Ransomware-hotet, börjar med riktade nätfiskeattacker. Hotaktörerna använder det som kallas callback phishing för att äventyra sina mål. De börjar med att skicka lockelsemail om falska prenumerationsförnyelser för en legitim matleveranstjänst eller mjukvaruprodukt. Offren får veta att för att avbryta den förmodade prenumerationen måste de ringa ett angett telefonnummer. Telefonoperatörerna arbetar för cyberbrottslingarna och kommer att använda olika sociala tekniker för att övertyga offret att ge dem fjärråtkomst till datorn. Den installerade programvaran fungerar som den första åtkomstpunkten till det interna företagsnätverket.

När Royal Ransomware-hotet distribueras och exekveras på offrens enheter, kommer det att kryptera en betydande del av den data som lagras där. Alla låsta filer kommer att ha '.royal' tillagd till sina ursprungliga namn. Hotet kan kryptera de virtuella diskfilerna (VMDK) som är associerade med virtuella maskiner. När den riktade informationen har bearbetats kommer ransomware-hotet att fortsätta att leverera sin lösennota. Hackarnas meddelande kommer att släppas som en 'README.TXT'-fil på de överträdda systemen, samtidigt som de skrivs ut av alla skrivare som är anslutna till företagets nätverk.

I lösensumman står det att offren måste etablera kontakt med cyberbrottslingarna genom att besöka deras dedikerade webbplats som finns på TOR-nätverket. Webbplatsen består mestadels av en chattjänst för att prata med hackarna. Offren kan vanligtvis skicka ett par filer som ska dekrypteras gratis som en demonstration. Även om Royal Ransomware-gruppen hävdar att de samlar in konfidentiell data från sina offer i ett dubbelutpressningssystem, har hittills ingen plats för dataläckor upptäckts.