Royal Ransomware går for høyprofilerte mål

En relativt ny ransomware-trusselaktør gjør store grep og tiltrekker seg oppmerksomhet. Den nye trusselaktørens tilstedeværelse ble først oppdaget tidlig i 2022 og Royal har vært aktiv siden.

Det som skiller Royal fra de fleste løsepengevareoperasjoner er at denne trusselaktøren ikke leier ut verktøyene og infrastrukturen til tilknyttede selskaper, men i stedet jobber privat. I tillegg går Royal etter treff med høy innsats, med løsepenger som varierer fra en kvart million til rundt to millioner dollar.

Til å begynne med ble løsepenge-lappene signert med navnet Zeon, etter trusselaktørens eget krypteringsverktøy, men dette endret seg til Royal høsten 2022. Det som er bemerkelsesverdig er at før de ty til å skrive sine egne krypteringsverktøy, brukte Royal løsepenger som var strukturert på samme måte som Conti-gjengnotater.

Det antas at Royal bruker sofistikerte phishing-angrep for å få innledende tilgang, ved å bruke live telefonoperatører og utgi seg for ulike enheter. Ofre som tar telefonen med Royals operatører blir overtalt til å installere fjernkontrollapplikasjoner. Hackerne brukte disse applikasjonene for å få et første fotfeste i målets nettverk.

Når Royal er inne, er det business as usual, med å sikre utholdenhet og bevege seg sideveis over nettverket før du distribuerer krypteringsverktøyene. Løsepengevaren legger til filtypen «.royal» og slipper en løsepengenota i en fil kalt «README.TXT», som ber ofrene om å kontakte trusselaktøren gjennom en Onion-side.