Royal ransomware busca objetivos de alto perfil
Un actor de amenazas de ransomware relativamente nuevo está haciendo grandes movimientos y llamando la atención. La presencia del nuevo actor de amenazas se detectó por primera vez a principios de 2022 y Royal ha estado activo desde entonces.
Lo que distingue a Royal de la mayoría de las operaciones de ransomware es que este actor de amenazas no alquila sus herramientas e infraestructura a afiliados, sino que trabaja de forma privada. Además, Royal busca éxitos de alto riesgo, con rescates que van desde un cuarto de millón hasta alrededor de dos millones de dólares.
Al principio, las notas de ransomware se firmaron con el nombre Zeon, después de la propia herramienta de cifrado del actor de amenazas, pero esto cambió a Royal en el otoño de 2022. Lo que es digno de mención es que antes de recurrir a escribir sus propias herramientas de cifrado, Royal usó notas de rescate que eran estructurado de manera similar a las notas de pandillas de Conti.
Se cree que Royal utiliza sofisticados ataques de phishing para obtener acceso inicial, utilizando operadores telefónicos en vivo y haciéndose pasar por varias entidades. Se persuade a las víctimas que hablan por teléfono con los operadores de Royal para que instalen aplicaciones de control remoto. Los piratas informáticos utilizaron esas aplicaciones para obtener un punto de apoyo inicial en la red del objetivo.
Una vez que Royal está dentro, todo sigue como de costumbre, asegurando la persistencia y moviéndose lateralmente a través de la red antes de implementar las herramientas de encriptación. El ransomware agrega la extensión ".royal" a los archivos y coloca una nota de rescate dentro de un archivo llamado "README.TXT", que le dice a las víctimas que se comuniquen con el actor de amenazas a través de una página de Onion.
