„Royal Ransomware“ skirta aukšto lygio taikiniams
Palyginti naujas išpirkos programų grėsmės veikėjas imasi didelių žingsnių ir pritraukia dėmesį. Naujasis grėsmės veikėjas pirmą kartą buvo pastebėtas 2022 m. pradžioje, o nuo tada Rojalis aktyviai dirba.
„Royal“ iš daugelio išpirkos reikalaujančių operacijų išskiria tuo, kad šis grėsmės veikėjas neišnuomoja savo įrankių ir infrastruktūros filialams, o dirba privačiai. Be to, „Royal“ siekia didelių sumų, o išpirkos svyruoja nuo ketvirčio milijono iki maždaug dviejų milijonų dolerių.
Iš pradžių išpirkos reikalaujantys užrašai buvo pasirašyti pavadinimu Zeon pagal paties grėsmės veikėjo šifravimo įrankį, tačiau 2022 m. rudenį tai pasikeitė į Royal. Pažymėtina, kad prieš pradėdamas rašyti savo šifravimo įrankius, Royal naudojo išpirkos kupiūras, kurios buvo struktūra panaši į Conti gaujos užrašus.
Manoma, kad Royal naudoja sudėtingas sukčiavimo atakas, kad gautų pradinę prieigą, naudodamas tiesioginius telefono operatorius ir apsimetinėdama įvairiais subjektais. Aukos, susikalbėjusios su „Royal“ operatoriais, įtikinamos įdiegti nuotolinio valdymo programas. Įsilaužėliai naudojo šias programas, kad įsitvirtintų taikinio tinkle.
Kai „Royal“ patenka į vidų, viskas vyksta kaip įprasta – užtikrinamas atkaklumas ir judėjimas į šoną tinkle prieš diegiant šifravimo įrankius. Išpirkos reikalaujanti programa prie failų prideda plėtinį „.royal“ ir į failą „README.TXT“ įmeta išpirkos raštelį, kuriame aukoms nurodoma susisiekti su grėsmės veikėju per Onion puslapį.