Royal Ransomware cible des cibles de premier plan

Un acteur de menace de ransomware relativement nouveau fait de grands pas et attire l'attention. La présence du nouvel acteur menaçant a été repérée pour la première fois au début de 2022 et Royal est actif depuis.

Ce qui distingue Royal de la plupart des opérations de ransomware, c'est que cet acteur menaçant ne loue pas ses outils et son infrastructure à des affiliés, mais travaille plutôt en privé. De plus, Royal s'attaque aux coups à gros enjeux, avec des rançons allant d'un quart de million à environ deux millions de dollars.

Au début, les notes de ransomware étaient signées sous le nom de Zeon, d'après le propre outil de cryptage de l'auteur de la menace, mais cela a changé pour Royal à l'automne 2022. Ce qui est remarquable, c'est qu'avant de recourir à l'écriture de ses propres outils de cryptage, Royal utilisait des notes de rançon qui étaient structuré de la même manière que les notes de gang Conti.

On pense que Royal utilise des attaques de phishing sophistiquées pour obtenir un accès initial, en utilisant des opérateurs téléphoniques en direct et en se faisant passer pour diverses entités. Les victimes qui téléphonent aux opérateurs de Royal sont persuadées d'installer des applications de contrôle à distance. Les pirates ont utilisé ces applications pour s'implanter dans le réseau de la cible.

Une fois que Royal est à l'intérieur, c'est comme d'habitude, avec la sécurisation de la persistance et le déplacement latéral sur le réseau avant de déployer les outils de cryptage. Le ransomware ajoute l'extension ".royal" aux fichiers et dépose une note de rançon dans un fichier appelé "README.TXT", qui indique aux victimes de contacter l'auteur de la menace via une page Onion.