Royal Ransomware trafia do głośnych celów

Stosunkowo nowy podmiot atakujący oprogramowanie ransomware robi duże ruchy i przyciąga uwagę. Obecność nowego aktora-groźby została po raz pierwszy zauważona na początku 2022 roku i od tego czasu Royal jest aktywny.

To, co odróżnia Royal od większości operacji ransomware, polega na tym, że ten cyberprzestępca nie wynajmuje swoich narzędzi i infrastruktury podmiotom stowarzyszonym, ale zamiast tego działa prywatnie. Dodatkowo Royal idzie za hitami o wysoką stawkę, z okupami od ćwierć miliona do około dwóch milionów dolarów.

Początkowo notatki ransomware zostały podpisane przy użyciu nazwy Zeon, po własnym narzędziu szyfrującym cyberprzestępcy, ale jesienią 2022 r. zmieniło się to na Royal. Warto zauważyć, że przed napisaniem własnych narzędzi szyfrujących Royal używał notatek dotyczących okupu, które były zbudowane podobnie do notatek Conti gang.

Uważa się, że Royal wykorzystuje wyrafinowane ataki phishingowe, aby uzyskać wstępny dostęp, wykorzystując operatorów telefonicznych na żywo i podszywając się pod różne podmioty. Ofiary, które rozmawiają przez telefon z operatorami Royala są namawiane do zainstalowania aplikacji do zdalnego sterowania. Hakerzy wykorzystali te aplikacje, aby uzyskać wstępny przyczółek w sieci celu.

Gdy Royal znajdzie się w środku, wszystko działa jak zwykle, z zabezpieczeniem trwałości i poruszaniem się w poprzek sieci przed wdrożeniem narzędzi szyfrujących. Oprogramowanie ransomware dołącza do plików rozszerzenie „.royal” i umieszcza żądanie okupu w pliku o nazwie „README.TXT”, który mówi ofiarom, aby skontaktowały się z cyberprzestępcą za pośrednictwem strony Onion.