A Royal Ransomware nagy horderejű célpontok számára készült

Egy viszonylag új zsarolóvírus-fenyegető szereplő nagy lépéseket tesz, és felhívja magára a figyelmet. Az új fenyegetett színész jelenlétét először 2022 elején észlelték, és Royal azóta is aktív.

A Royal-t az különbözteti meg a legtöbb zsarolóvírus-művelettől, hogy ez a fenyegetettség szereplője nem adja bérbe eszközeit és infrastruktúráját leányvállalatainak, hanem magántulajdonban dolgozik. Ezenkívül Royal nagy tétű sikerekre törekszik, a váltságdíjak negyedmilliótól körülbelül kétmillió dollárig terjednek.

Eleinte a ransomware-feljegyzéseket Zeon néven írták alá, a fenyegetőző saját titkosító eszköze után, de ez 2022 őszén Royal névre változott. Ami figyelemre méltó, hogy mielőtt saját titkosítóeszközeihez folyamodott volna, Royal váltságdíj-jegyzeteket használt, amelyek a Conti-banda jegyzeteihez hasonló szerkezetű.

Úgy gondolják, hogy a Royal kifinomult adathalász támadásokat használ a kezdeti hozzáférés megszerzésére, élő telefonszolgáltatókat használva, és különféle entitásokat ad ki. Az áldozatokat, akik a Royal kezelőivel telefonálnak, ráveszik, hogy telepítsenek távirányító alkalmazásokat. A hackerek arra használták ezeket az alkalmazásokat, hogy megvegyék a kezdeti lábukat a célpont hálózatában.

Amint a Royal bekerült, a szokásos módon megy a dolog, biztosítva a kitartást és oldalirányban a hálózaton, mielőtt a titkosító eszközöket telepítené. A zsarolóprogram hozzáfűzi a ".royal" kiterjesztést a fájlokhoz, és a "README.TXT" nevű fájlba bedob egy váltságdíjat, amely arra utasítja az áldozatokat, hogy egy Onion oldalon keresztül lépjenek kapcsolatba a fenyegetőzővel.