Royal Ransomware

Ang Royal Ransomware ay kabilang sa isang medyo bagong pangkat ng cybercrime. Sa una, ginamit ng mga hacker ang mga tool sa pag-encrypt ng iba pang katulad na mga grupo ng pag-atake ngunit mula noon ay lumipat sa paggamit ng kanilang sarili. Target ng grupo ang mga corporate entity at hinihingi ang pagbabayad ng ransom mula $250,000 hanggang $2 milyon. Ang isang kapansin-pansing katangian ng pangkat ng Royal Ransomware ay hindi ito gumagana bilang isang RaaS (Ransomware-as-a-Service) at, sa halip, isang ganap na pribadong grupo nang walang anumang mga kaakibat.

Ang chain ng impeksyon na sa huli ay nagtatapos sa pag-deploy ng banta ng Royal Ransomware, ay nagsisimula sa mga naka-target na pag-atake sa phishing. Ginagamit ng mga banta ng aktor ang tinatawag na callback phishing upang ikompromiso ang kanilang mga target. Nagsisimula sila sa pamamagitan ng pagpapadala ng mga email na pang-akit tungkol sa mga pekeng pag-renew ng subscription para sa isang lehitimong serbisyo sa paghahatid ng pagkain o produkto ng software. Sinabihan ang mga biktima na para kanselahin ang dapat na subscription, kailangan nilang tumawag sa ibinigay na numero ng telepono. Ang mga operator ng telepono ay nagtatrabaho para sa mga cybercriminal at gagamit ng iba't ibang mga taktika ng social-engineering upang kumbinsihin ang biktima na bigyan sila ng malayuang pag-access sa computer. Ang naka-install na software ay nagsisilbing paunang access point sa panloob na corporate network.

Kapag ang banta ng Royal Ransomware ay na-deploy at naisakatuparan sa mga device ng mga biktima, ie-encrypt nito ang malaking bahagi ng data na nakaimbak doon. Ang lahat ng mga naka-lock na file ay magkakaroon ng '.royal' na nakadugtong sa kanilang mga orihinal na pangalan. Ang banta ay may kakayahang i-encrypt ang mga virtual disk file (VMDK) na nauugnay sa mga virtual machine. Kapag naproseso na ang naka-target na data, magpapatuloy ang banta ng ransomware upang maihatid ang ransom note nito. Ang mensahe ng mga hacker ay ihuhulog bilang isang 'README.TXT' na file sa mga nilabag na system, kasabay ng pagpi-print ng anumang mga printer na konektado sa corporate network.

Ang ransom note ay nagsasaad na ang mga biktima ay dapat na makipag-ugnayan sa mga cybercriminal sa pamamagitan ng pagbisita sa kanilang nakatuong website na naka-host sa TOR network. Ang site ay kadalasang binubuo ng isang chat service upang makipag-usap sa mga hacker. Karaniwang makakapagpadala ang mga biktima ng ilang file para i-decrypt nang libre bilang isang demonstrasyon. Bagama't inaangkin ng pangkat ng Royal Ransomware na mangolekta ng kumpidensyal na data mula sa kanilang mga biktima sa isang double-extortion scheme, sa ngayon ay wala pang natuklasang site ng data leak.