Το Royal Ransomware πηγαίνει για στόχους υψηλού προφίλ

Ένας σχετικά νέος παράγοντας απειλών ransomware κάνει μεγάλες κινήσεις και προσελκύει την προσοχή. Η παρουσία του νέου ηθοποιού απειλήθηκε για πρώτη φορά στις αρχές του 2022 και η Royal είναι ενεργή από τότε.

Αυτό που ξεχωρίζει τη Royal από τις περισσότερες λειτουργίες ransomware είναι ότι αυτός ο παράγοντας απειλών δεν εκμισθώνει τα εργαλεία και την υποδομή του σε θυγατρικές, αλλά αντ' αυτού λειτουργεί ιδιωτικά. Επιπλέον, η Royal επιδιώκει επιτυχίες υψηλού στοιχήματος, με λύτρα που κυμαίνονται από ένα τέταρτο του ενός εκατομμυρίου έως περίπου δύο εκατομμύρια δολάρια.

Αρχικά, οι σημειώσεις ransomware υπογράφτηκαν χρησιμοποιώντας το όνομα Zeon, από το εργαλείο κρυπτογράφησης του ίδιου του ηθοποιού απειλών, αλλά αυτό άλλαξε σε Royal το φθινόπωρο του 2022. Αυτό που είναι αξιοσημείωτο είναι ότι πριν καταφύγει στη σύνταξη των δικών της εργαλείων κρυπτογράφησης, η Royal χρησιμοποίησε σημειώσεις λύτρων που ήταν δομημένο παρόμοια με τις σημειώσεις της συμμορίας Conti.

Πιστεύεται ότι η Royal χρησιμοποιεί εξελιγμένες επιθέσεις phishing για να αποκτήσει αρχική πρόσβαση, χρησιμοποιώντας ζωντανούς τηλεφωνητές και πλαστοπροσωπώντας διάφορες οντότητες. Τα θύματα που παίρνουν τηλέφωνο με τους χειριστές της Royal πείθονται να εγκαταστήσουν εφαρμογές τηλεχειρισμού. Οι χάκερ χρησιμοποίησαν αυτές τις εφαρμογές για να αποκτήσουν μια αρχική βάση στο δίκτυο του στόχου.

Μόλις το Royal είναι μέσα, είναι κανονικά, με την εξασφάλιση της επιμονής και την πλευρική κίνηση στο δίκτυο πριν από την ανάπτυξη των εργαλείων κρυπτογράφησης. Το ransomware προσθέτει την επέκταση ".royal" στα αρχεία και ρίχνει μια σημείωση λύτρων μέσα σε ένα αρχείο που ονομάζεται "README.TXT", το οποίο λέει στα θύματα να επικοινωνήσουν με τον παράγοντα απειλής μέσω μιας σελίδας Onion.