Royal Ransomware setzt auf hochkarätige Ziele
Ein relativ neuer Ransomware-Bedrohungsakteur macht große Schritte und erregt Aufmerksamkeit. Die Anwesenheit des neuen Bedrohungsakteurs wurde erstmals Anfang 2022 entdeckt und Royal ist seitdem aktiv.
Was Royal von den meisten Ransomware-Operationen unterscheidet, ist, dass dieser Bedrohungsakteur seine Tools und Infrastruktur nicht an Partner vermietet, sondern privat arbeitet. Darüber hinaus verfolgt Royal High-Stakes-Hits mit Lösegeldern zwischen einer Viertelmillion und etwa zwei Millionen Dollar.
Zuerst wurden die Ransomware-Notizen mit dem Namen Zeon signiert, nach dem eigenen Verschlüsselungstool des Angreifers, aber dies wurde im Herbst 2022 zu Royal geändert. Bemerkenswert ist, dass Royal, bevor es auf das Schreiben seiner eigenen Verschlüsselungstools zurückgriff, Lösegeldnotizen verwendete, die waren ähnlich aufgebaut wie Conti-Bandennotizen.
Es wird angenommen, dass Royal ausgeklügelte Phishing-Angriffe verwendet, um sich den ersten Zugang zu verschaffen, indem es Live-Telefonbetreiber verwendet und sich als verschiedene Entitäten ausgibt. Opfer, die mit Royals Telefonisten telefonieren, werden überredet, Fernsteuerungsanwendungen zu installieren. Die Hacker nutzten diese Anwendungen, um im Netzwerk des Ziels Fuß zu fassen.
Sobald Royal drinnen ist, geht es wie gewohnt weiter, mit der Sicherung der Persistenz und der seitlichen Bewegung über das Netzwerk, bevor die Verschlüsselungstools bereitgestellt werden. Die Ransomware hängt die Erweiterung „.royal“ an Dateien an und legt eine Lösegeldforderung in einer Datei namens „README.TXT“ ab, die den Opfern mitteilt, den Angreifer über eine Onion-Seite zu kontaktieren.