Royal Ransomware

Royal Ransomware належить до відносно нової групи кіберзлочинців. Спочатку хакери використовували інструменти шифрування інших подібних атакуючих груп, але згодом перейшли до використання власних. Група націлена на корпоративні організації та вимагає викупу в розмірі від 250 000 доларів США до 2 мільйонів доларів. Примітною характеристикою групи Royal Ransomware є те, що вона не працює як RaaS (Ransomware-as-a-Service), а натомість є повністю приватною групою без жодних філій.

Ланцюг зараження, який зрештою завершується розгортанням загрози Royal Ransomware, починається з цілеспрямованих фішингових атак. Зловмисники використовують те, що називається зворотним фішингом, щоб скомпрометувати свої цілі. Вони починають із надсилання спокусливих електронних листів про фальшиві поновлення підписки на законну службу доставки їжі чи програмний продукт. Постраждалим повідомляють, що для скасування передплати їм доведеться зателефонувати за вказаним номером телефону. Телефонні оператори працюють на кіберзлочинців і використовують різні тактики соціальної інженерії, щоб переконати жертву надати їй віддалений доступ до комп’ютера. Встановлене програмне забезпечення служить початковою точкою доступу до внутрішньої корпоративної мережі.

Коли загроза Royal Ransomware розгортається та виконується на пристроях жертв, вона шифрує значну частину збережених там даних. Усі заблоковані файли матимуть «.royal» до оригінальних імен. Загроза здатна шифрувати файли віртуального диска (VMDK), пов’язані з віртуальними машинами. Коли цільові дані буде оброблено, програма-вимагач продовжить надсилати свою нотатку про викуп. Повідомлення хакерів буде скинуто у вигляді файлу README.TXT у зламаних системах, а також роздруковано будь-якими принтерами, підключеними до корпоративної мережі.

У записці про викуп зазначено, що жертви повинні встановити контакт із кіберзлочинцями, відвідавши їхній спеціальний веб-сайт, розміщений у мережі TOR. Сайт здебільшого складається з чату для спілкування з хакерами. Жертви зазвичай можуть надіслати пару файлів для безкоштовного розшифрування як демонстрацію. Хоча група Royal Ransomware стверджує, що збирає конфіденційні дані від своїх жертв за схемою подвійного вимагання, наразі жодного місця витоку даних не виявлено.