Royal Ransomware атакует высокопоставленные цели

Относительно новый субъект угрозы программ-вымогателей делает большие шаги и привлекает внимание. Присутствие нового злоумышленника было впервые замечено в начале 2022 года, и с тех пор Роял активно действует.

Что отличает Royal от большинства операций с вымогателями, так это то, что этот злоумышленник не сдает в аренду свои инструменты и инфраструктуру аффилированным лицам, а вместо этого работает в частном порядке. Кроме того, Роял преследует цели с высокими ставками, требуя выкупа от четверти миллиона до примерно двух миллионов долларов.

Сначала заметки о программе-вымогателе были подписаны с использованием имени Zeon, в честь собственного инструмента шифрования злоумышленника, но осенью 2022 года оно было изменено на Royal. Что примечательно, так это то, что до того, как прибегнуть к написанию собственных инструментов шифрования, Royal использовала заметки о выкупе, которые были структурирован аналогично заметкам банды Конти.

Считается, что Royal использует изощренные фишинговые атаки для получения начального доступа, используя живых телефонных операторов и выдавая себя за различных лиц. Жертв, которые разговаривают по телефону с операторами Royal, уговаривают установить приложения для дистанционного управления. Хакеры использовали эти приложения, чтобы закрепиться в сети цели.

Как только Royal оказывается внутри, все работает как обычно, с защитой постоянства и боковым перемещением по сети перед развертыванием инструментов шифрования. Программа-вымогатель добавляет к файлам расширение «.royal» и помещает примечание о выкупе в файл под названием «README.TXT», в котором жертвам предлагается связаться с злоумышленником через страницу Onion.