Μια σχετικά νέα επιχείρηση ransomware που ονομάζεται Royal έχει κάνει δυναμική εμφάνιση στο τοπίο απειλών, στοχεύοντας εταιρείες και ζητώντας λύτρα που κυμαίνονται από 250.000 έως πάνω από 2 εκατομμύρια δολάρια.

Το Royal ransomware εμφανίστηκε πρώτη φορά τον Ιανουάριο του 2022 και φαίνεται να χρησιμοποιείται από μια ομάδα έμπειρων hackers, οι οποίοι πιθανότατα εμπλέκονταν σε άλλες ransomware επιχειρήσεις.

Δείτε επίσης: Microsoft Exchange zero-day χρησιμοποιείται ενεργά σε επιθέσεις

Σε αντίθεση με τις περισσότερες ενεργές λειτουργίες ransomware, το Royal δεν λειτουργεί ως Ransomware-as-a-Service, αλλά είναι μια ιδιωτική ομάδα χωρίς affiliates.

Ο Vitali Kremez, Διευθύνων Σύμβουλος της AdvIntel, είπε στο BleepingComputer ότι οι χειριστές του χρησιμοποίησαν encryptors άλλων λειτουργιών ransomware όταν ξεκίνησαν, όπως του BlackCat.

Αμέσως μετά, οι εγκληματίες του κυβερνοχώρου άρχισαν να δημιουργούν και να χρησιμοποιούν δικά τους encryptors. Το πρώτο ήταν το Zeon, που δημιουργούσε σημειώματα λύτρων παρόμοια με του Conti ransomware.

Ωστόσο, από τα μέσα Σεπτεμβρίου 2022, η συμμορία ransomware μετονομάστηκε ξανά σε “Royal” και χρησιμοποιεί αυτό το όνομα στα σημειώματα λύτρων που αφήνει στα θύματα. Αυτά τα ransom notes δημιουργούνται από έναν νέο encryptor.

Royal ransomware: Πώς γίνεται η παραβίαση των θυμάτων;

Σε αντίθεση με τις περισσότερες ransomware συμμορίες, η συμμορία Royal δεν διαθέτει site διαρροής δεδομένων των θυμάτων της. Έτσι δεν έχουμε πολλές πληροφορίες σχετικά με τις επιθέσεις και τα θύματά της.

Ωστόσο, υπάρχουν και άλλες πηγές από τις οποίες μπορούμε να λάβουμε κάποιες πληροφορίες, όπως ένα δείγμα που ανέβηκε στο VirusTotal.

Δείτε επίσης: Το νέο Chaos botnet στοχεύει Windows και Linux συστήματα

Επιπλέον, από συνομιλίες μεταξύ του Kremez και ενός θύματος, το BleepingComputer μπόρεσε να αποκτήσει μια καλύτερη εικόνα για το πώς λειτουργεί η ransomware συμμορία Royal.

Σύμφωνα με τον Kremez, η ομάδα Royal ξεκινά με επιθέσεις phishing στέλνοντας emails τα οποία υποτίθεται προέρχονται από παρόχους παράδοσης τροφίμων και software providers και έχουν ως θέμα την ανανέωση της συνδρομής.

Αυτά τα emails περιέχουν αριθμούς τηλεφώνου με τους οποίους μπορεί να επικοινωνήσει το θύμα για να ακυρώσει την υποτιθέμενη συνδρομή. Ωστόσο, αν το θύμα επικοινωνήσει, θα μιλήσει με τους εγκληματίες, οι οποίοι (χρησιμοποιώντας social engineering τεχνικές), θα προσπαθήσουν να τον πείσουν να εγκαταστήσει λογισμικό απομακρυσμένης πρόσβασης, το οποίο χρησιμοποιείται για την αρχική πρόσβαση στο εταιρικό δίκτυο.

Δείτε επίσης: Bl00dy ransomware: Χρησιμοποιεί έναν LockBit ransomware builder που διέρρευσε πρόσφατα

Επίσης, η ομάδα εκμεταλλεύεται και ευπάθειες για να αποκτήσει πρόσβαση σε ένα δίκτυο. Ένα θύμα του Royal ransomware είπε στο BleepingComputer ότι οι φορείς απειλών παραβίασαν το δίκτυό του χρησιμοποιώντας μια ευπάθεια στο custom web app τους.

Μόλις αποκτήσουν πρόσβαση σε ένα δίκτυο, οι hackers εκτελούν τις ίδιες δραστηριότητες που χρησιμοποιούνται συνήθως από άλλες λειτουργίες ransomware. Αναπτύσσουν το Cobalt Strike για επίτευξη persistence, κλέβουν credentials, εξαπλώνονται στο Windows domain, κλέβουν δεδομένα και τελικά κρυπτογραφούν τις συσκευές.

Κατά την κρυπτογράφηση αρχείων, το Royal encryptor θα προσαρτήσει την επέκταση .royal στα ονόματα των κρυπτογραφημένων αρχείων.

Τα σημειώματα λύτρων που αφήνονται στη συσκευή, ονομάζονται README.TXT και περιέχουν έναν σύνδεσμο προς την ιδιωτική σελίδα διαπραγμάτευσης Tor στη διεύθυνση royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid.onion. Το XXX στο παρακάτω σημείωμα λύτρων έχει διαγραφεί αλλά είναι μοναδικό για το θύμα.

Ο ιστότοπος διαπραγμάτευσης Tor απλώς περιέχει μια οθόνη συνομιλίας όπου το θύμα μπορεί να επικοινωνήσει με τους χειριστές του Royal ransomware για να μιλήσουν για τα λύτρα.

Όπως είπαμε και πιο πάνω, οι hackers ζητούν από 250.000 έως και άνω από 2 εκατομμύρια δολάρια.

Η συμμορία ransomware αποκρυπτογραφεί επίσης μερικά αρχεία για τα θύματα για να αποδείξει ότι η αποκρυπτογράφηση λειτουργεί και δείχνει λίστες με κλεμμένα δεδομένα για να πιέσει την κατάσταση.

Αυτή η νέα ransomware απειλή δείχνει ότι πρέπει να είμαστε ακόμα πιο προσεκτικοί με τα emails, μηνύματα ή και τηλεφωνήματα που λαμβάνουμε, καθώς ο συνομιλητής μας μπορεί να είναι απατεώνας. Επιπλέον, καθιστά επιτακτική την εφαρμογή όλων των βασικών πρακτικών ασφαλείας, όπως χρήση antivirus λογισμικών, ενημέρωση όλων των συσκευών και εφαρμογών κλπ.

Πηγή: www.bleepingcomputer.com