Royal Ransomware
Royal Ransomware 属于一个相对较新的网络犯罪集团。最初,黑客使用了其他类似攻击组的加密工具,但后来开始使用他们自己的。该集团以企业实体为目标,要求支付从 250 美元到 200 万美元不等的赎金。 Royal Ransomware 组织的一个显着特征是它不作为 RaaS(Ransomware-as-a-Service)运营,而是一个完全私人的组织,没有任何附属机构。
最终以部署 Royal Ransomware 威胁而告终的感染链始于有针对性的网络钓鱼攻击。威胁参与者利用所谓的回调网络钓鱼来破坏他们的目标。他们首先发送关于合法食品配送服务或软件产品的虚假订阅续订的引诱电子邮件。受害者被告知要取消所谓的订阅,他们必须拨打提供的电话号码。电话运营商为网络犯罪分子工作,并将使用各种社会工程策略说服受害者为他们提供对计算机的远程访问权限。安装的软件用作内部公司网络的初始访问点。
当 Royal Ransomware 威胁在受害者的设备上部署和执行时,它将加密存储在那里的大部分数据。所有锁定的文件都将在其原始名称后附加“.royal”。该威胁能够加密与虚拟机关联的虚拟磁盘文件 (VMDK)。处理目标数据后,勒索软件威胁将继续提供其勒索信。黑客的消息将作为“README.TXT”文件丢弃在被破坏的系统上,同时由连接到公司网络的任何打印机打印出来。
赎金说明指出,受害者必须通过访问托管在 TOR 网络上的专用网站与网络犯罪分子建立联系。该网站主要包含与黑客交谈的聊天服务。受害者通常可以发送几个文件免费解密作为演示。尽管皇家勒索软件组织声称通过双重勒索计划从受害者那里收集机密数据,但到目前为止还没有发现任何数据泄露站点。
