Royal Ransomware

Royal Ransomware อยู่ในกลุ่มอาชญากรไซเบอร์ที่ค่อนข้างใหม่ ในขั้นต้น แฮกเกอร์ใช้เครื่องมือเข้ารหัสของกลุ่มโจมตีที่คล้ายกัน แต่หลังจากนั้นก็เปลี่ยนไปใช้ของตนเอง กลุ่มนี้มุ่งเป้าไปที่นิติบุคคลและต้องการเงินค่าไถ่ตั้งแต่ 250,000 ดอลลาร์ไปจนถึง 2 ล้านดอลลาร์ ลักษณะเด่นของกลุ่ม Royal Ransomware คือไม่ได้ทำงานเป็น RaaS (Ransomware-as-a-Service) และเป็นกลุ่มส่วนตัวทั้งหมดที่ไม่มีบริษัทในเครือ

ห่วงโซ่การติดไวรัสที่สิ้นสุดด้วยการติดตั้งภัยคุกคาม Royal Ransomware เริ่มต้นด้วยการโจมตีแบบฟิชชิ่งแบบกำหนดเป้าหมาย ผู้คุกคามใช้สิ่งที่เรียกว่าคอลแบ็กฟิชชิ่งเพื่อประนีประนอมกับเป้าหมาย พวกเขาเริ่มต้นด้วยการส่งอีเมลหลอกลวงเกี่ยวกับการต่ออายุการสมัครรับข้อมูลปลอมสำหรับบริการจัดส่งอาหารหรือผลิตภัณฑ์ซอฟต์แวร์ที่ถูกต้องตามกฎหมาย ผู้ที่ตกเป็นเหยื่อจะได้รับแจ้งว่าหากต้องการยกเลิกการสมัครรับข้อมูล พวกเขาจะต้องโทรไปยังหมายเลขโทรศัพท์ที่ให้ไว้ ผู้ให้บริการโทรศัพท์ทำงานให้กับอาชญากรไซเบอร์และจะใช้กลวิธีทางสังคมศาสตร์ต่างๆ เพื่อโน้มน้าวให้เหยื่อเข้าถึงคอมพิวเตอร์จากระยะไกล ซอฟต์แวร์ที่ติดตั้งทำหน้าที่เป็นจุดเชื่อมต่อเริ่มต้นในเครือข่ายภายในองค์กร

เมื่อมีการปรับใช้และดำเนินการภัยคุกคามของ Royal Ransomware บนอุปกรณ์ของเหยื่อ มันจะเข้ารหัสข้อมูลส่วนสำคัญที่จัดเก็บไว้ที่นั่น ไฟล์ที่ถูกล็อคทั้งหมดจะมี '.royal' ต่อท้ายชื่อเดิม ภัยคุกคามสามารถเข้ารหัสไฟล์ดิสก์เสมือน (VMDK) ที่เกี่ยวข้องกับเครื่องเสมือนได้ เมื่อข้อมูลเป้าหมายได้รับการประมวลผล ภัยคุกคาม ransomware จะดำเนินการส่งบันทึกเรียกค่าไถ่ ข้อความของแฮกเกอร์จะถูกทิ้งเป็นไฟล์ 'README.TXT' ในระบบที่ถูกละเมิด ควบคู่ไปกับการพิมพ์โดยเครื่องพิมพ์ใดๆ ที่เชื่อมต่อกับเครือข่ายขององค์กร

บันทึกค่าไถ่ระบุว่าผู้ที่ตกเป็นเหยื่อต้องติดต่อกับอาชญากรไซเบอร์โดยไปที่เว็บไซต์เฉพาะของพวกเขาซึ่งโฮสต์บนเครือข่าย TOR ไซต์ส่วนใหญ่ประกอบด้วยบริการแชทเพื่อพูดคุยกับแฮกเกอร์ เหยื่อสามารถส่งไฟล์สองสามไฟล์เพื่อถอดรหัสได้ฟรีเป็นการสาธิต แม้ว่ากลุ่ม Royal Ransomware อ้างว่ารวบรวมข้อมูลที่เป็นความลับจากเหยื่อของพวกเขาในรูปแบบการกรรโชกสองครั้ง จนถึงขณะนี้ยังไม่มีการค้นพบไซต์การรั่วไหลของข้อมูล