Royal Ransomware

Royal Ransomware nispeten yeni bir siber suç grubuna aittir. Başlangıçta, bilgisayar korsanları diğer benzer saldırı gruplarının şifreleme araçlarını kullandılar, ancak o zamandan beri kendilerininkini kullanmaya başladılar. Grup, kurumsal varlıkları hedefliyor ve 250.000 dolardan 2 milyon dolara kadar değişen bir fidye ödenmesini talep ediyor. Royal Ransomware grubunun dikkate değer bir özelliği, bir RaaS (Hizmet olarak Fidye Yazılımı) olarak çalışmaması ve bunun yerine herhangi bir bağlı kuruluşu olmayan tamamen özel bir grup olmasıdır.

Royal Ransomware tehdidinin yayılmasıyla sona eren bulaşma zinciri, hedefli kimlik avı saldırılarıyla başlar. Tehdit aktörleri, hedeflerini tehlikeye atmak için geri arama kimlik avı olarak bilinen şeyi kullanır. Meşru bir yemek dağıtım hizmeti veya yazılım ürünü için sahte abonelik yenilemeleri hakkında çekici e-postalar göndererek başlarlar. Mağdurlara, sözde aboneliği iptal etmek için verilen telefon numarasını aramaları gerektiği söylendi. Telefon operatörleri siber suçlular için çalışıyor ve kurbanı bilgisayara uzaktan erişim sağlamaya ikna etmek için çeşitli sosyal mühendislik taktikleri kullanacak. Yüklenen yazılım, dahili şirket ağına ilk erişim noktası görevi görür.

Royal Ransomware tehdidi kurbanların cihazlarına yerleştirildiğinde ve yürütüldüğünde, orada depolanan verilerin önemli bir bölümünü şifreleyecektir. Tüm kilitli dosyaların orijinal adlarına '.royal' eklenecektir. Tehdit, sanal makinelerle ilişkili sanal disk dosyalarını (VMDK) şifreleyebilir. Hedeflenen veriler işlendiğinde, fidye yazılımı tehdidi fidye notunu iletmeye devam edecektir. Bilgisayar korsanlarının mesajı, şirket ağına bağlı herhangi bir yazıcı tarafından yazdırılmanın yanı sıra, ihlal edilen sistemlerde bir 'README.TXT' dosyası olarak bırakılacaktır.

Fidye notu, mağdurların TOR ağında barındırılan özel web sitelerini ziyaret ederek siber suçlularla iletişim kurması gerektiğini belirtiyor. Site çoğunlukla bilgisayar korsanlarıyla konuşmak için bir sohbet servisinden oluşuyor. Kurbanlar genellikle bir gösteri olarak şifresi çözülecek birkaç dosya gönderebilir. Royal Ransomware grubu, çifte gasp planında kurbanlarından gizli veriler topladığını iddia etse de, şu ana kadar herhangi bir veri sızıntısı sitesi keşfedilmedi.