Royal Ransomware går efter højprofilerede mål

En relativt ny ransomware-trusselsaktør tager store skridt og tiltrækker opmærksomhed. Den nye trusselsaktørs tilstedeværelse blev først opdaget i begyndelsen af 2022, og Royal har været aktiv siden.

Det, der adskiller Royal fra de fleste ransomware-operationer, er, at denne trusselsaktør ikke udlejer sine værktøjer og infrastruktur til datterselskaber, men i stedet arbejder privat. Derudover går Royal efter high-stake hits med løsesummer, der spænder fra en kvart million til omkring to millioner dollars.

I første omgang blev ransomware-sedlerne underskrevet med navnet Zeon, efter trusselsaktørens eget krypteringsværktøj, men dette ændrede sig til Royal i efteråret 2022. Hvad der er bemærkelsesværdigt er, at Royal, inden de greb til at skrive sine egne krypteringsværktøjer, brugte løsesumsedler, der var struktureret på samme måde som Conti-bandens noter.

Det menes, at Royal bruger sofistikerede phishing-angreb for at få indledende adgang, ved at bruge live telefonoperatører og efterligne forskellige enheder. Ofre, der taler i telefon med Royals operatører, bliver overtalt til at installere fjernbetjeningsapplikationer. Hackerne brugte disse applikationer til at få et indledende fodfæste i målets netværk.

Når Royal er indenfor, er det business as usual, med sikring af vedholdenhed og bevægelse på tværs af netværket, før krypteringsværktøjerne implementeres. Ransomware tilføjer filtypenavnet ".royal" til filer og anbringer en løsesumseddel i en fil kaldet "README.TXT", som fortæller ofrene at kontakte trusselsaktøren gennem en Onion-side.