Royal Ransomware

Royal Ransomware は、比較的新しいサイバー犯罪グループに属しています。当初、ハッカーは他の同様の攻撃グループの暗号化ツールを使用していましたが、その後独自のツールを使用するようになりました。このグループは企業体を標的にしており、25 万ドルから 200 万ドルに及ぶ身代金の支払いを要求しています。 Royal Ransomware グループの注目すべき特徴は、RaaS (Ransomware-as-a-Service) として動作するのではなく、関連会社のない完全にプライベートなグループであることです。

最終的に Royal Ransomware 脅威の展開で終わる感染チェーンは、標的型フィッシング攻撃から始まります。攻撃者は、いわゆるコールバック フィッシングを利用して標的を侵害します。彼らはまず、正規のフード デリバリー サービスまたはソフトウェア製品の偽のサブスクリプション更新に関するおとりメールを送信します。被害者は、想定されたサブスクリプションをキャンセルするには、提供された電話番号に電話する必要があると言われます。電話オペレーターはサイバー犯罪者のために働いており、さまざまなソーシャル エンジニアリング戦術を使用して被害者を説得し、コンピューターへのリモート アクセスを提供します。インストールされたソフトウェアは、社内ネットワークへの最初のアクセス ポイントとして機能します。

Royal Ransomware の脅威が展開され、被害者のデバイスで実行されると、そこに保存されているデータの大部分が暗号化されます。ロックされたすべてのファイルには、元の名前に「.royal」が追加されます。この脅威は、仮想マシンに関連付けられた仮想ディスク ファイル (VMDK) を暗号化することができます。標的のデータが処理されると、ランサムウェアの脅威は身代金メモを配信し始めます。ハッカーのメッセージは、侵害されたシステムに「README.TXT」ファイルとしてドロップされ、企業ネットワークに接続されたプリンターで印刷されます。

身代金メモには、被害者は、TOR ネットワークでホストされている専用の Web サイトにアクセスして、サイバー犯罪者との連絡を確立する必要があると記載されています。このサイトのほとんどは、ハッカーと会話するためのチャット サービスで構成されています。被害者は通常、デモンストレーションとして無料で復号化するためにいくつかのファイルを送信できます。 Royal Ransomware グループは、被害者から二重恐喝スキームで機密データを収集すると主張していますが、これまでのところ、データ漏洩サイトは発見されていません。