Royal Ransomware gaat voor spraakmakende doelen

Een relatief nieuwe ransomware-bedreigingsacteur maakt grote stappen en trekt de aandacht. De aanwezigheid van de nieuwe dreigingsactor werd begin 2022 voor het eerst opgemerkt en Royal is sindsdien actief.

Wat Royal onderscheidt van de meeste ransomware-operaties, is dat deze dreigingsactor zijn tools en infrastructuur niet verhuurt aan gelieerde ondernemingen, maar in plaats daarvan privé werkt. Bovendien jaagt Royal op hits met een hoge inzet, met losgeld variërend van een kwart miljoen tot ongeveer twee miljoen dollar.

Aanvankelijk werden de ransomware-aantekeningen ondertekend met de naam Zeon, naar de eigen encryptietool van de dreigingsactor, maar dit veranderde in Royal in de herfst van 2022. Wat opmerkelijk is, is dat voordat Royal zijn toevlucht nam tot het schrijven van zijn eigen encryptietools, Royal losgeldbriefjes gebruikte die waren op dezelfde manier gestructureerd als Conti-bendenotities.

Er wordt aangenomen dat Royal geavanceerde phishing-aanvallen gebruikt om de eerste toegang te krijgen, met behulp van live telefoonoperators en het imiteren van verschillende entiteiten. Slachtoffers die telefoneren met de telefonisten van Royal worden overgehaald om applicaties voor afstandsbediening te installeren. De hackers gebruikten die applicaties om een eerste voet aan de grond te krijgen in het netwerk van het doelwit.

Als Royal eenmaal binnen is, gaat het gewoon door, met het beveiligen van de persistentie en zijwaartse verplaatsing over het netwerk voordat de coderingstools worden geïmplementeerd. De ransomware voegt de extensie ".royal" toe aan bestanden en plaatst een losgeldbrief in een bestand met de naam "README.TXT", dat slachtoffers vertelt om contact op te nemen met de dreigingsactor via een Onion-pagina.