Royal Ransomware vai para alvos de alto perfil
Um ator de ameaças de ransomware relativamente novo está fazendo grandes movimentos e atraindo atenção. A presença do novo ator de ameaças foi detectada pela primeira vez no início de 2022 e a Royal está ativa desde então.
O que diferencia o Royal da maioria das operações de ransomware é que esse agente de ameaças não aluga suas ferramentas e infraestrutura para afiliados, mas trabalha de forma privada. Além disso, Royal vai atrás de hits de alto risco, com resgates que variam de um quarto de milhão a cerca de dois milhões de dólares.
No início, as notas de ransomware foram assinadas usando o nome Zeon, em homenagem à própria ferramenta de criptografia do agente da ameaça, mas isso mudou para Royal no outono de 2022. estruturado de forma semelhante às notas de gangues Conti.
Acredita-se que a Royal use sofisticados ataques de phishing para obter acesso inicial, usando operadoras de telefonia ao vivo e se passando por várias entidades. As vítimas que ligam para os operadores da Royal são persuadidas a instalar aplicativos de controle remoto. Os hackers usaram esses aplicativos para obter uma posição inicial na rede do alvo.
Uma vez que o Royal está dentro, é o negócio como de costume, com persistência segura e movendo-se lateralmente pela rede antes de implantar as ferramentas de criptografia. O ransomware anexa a extensão ".royal" aos arquivos e coloca uma nota de resgate dentro de um arquivo chamado "README.TXT", que diz às vítimas para entrar em contato com o agente da ameaça por meio de uma página Onion.