Odkryto nowego operatora oprogramowania ransomware działającego na wolności i chociaż jest to nowy podmiot, już teraz domaga się dużych płatności okupu.
W nowym raporcie BleepingComputer we współpracy z firmą AdvIntel zajmującą się wywiadem cybernetycznym przeanalizowano działania grupy, szyfrowanie i metodologię.
Grupa najwyraźniej składa się z doświadczonych graczy ransomware z innych operacji. Połączyli siły w styczniu tego roku i nie działają jako RaaS, ale jako prywatna grupa ze spółkami zależnymi. Początkowo grupa wykorzystywała szyfry innych przestępców, a mianowicie BlackCat, ale szybko zwróciła się w stronę autorskich rozwiązań. Pierwszy taki szyfrator nazywa się Zeon.
Zaczyna się od phishingu
Na początku tego miesiąca grupa przeszła z Zeon na Royal, używając tej nazwy zarówno w nocie okupu, jak i jako rozszerzenie pliku dla zaszyfrowanych dokumentów.
MO nie jest niczym niezwykłym: atakujący najpierw wysyłają wiadomość phishingową i zachęcają ofiary do oddzwonienia. Podczas rozmowy napastnicy przekonali ofiary do zainstalowania oprogramowania do zdalnego dostępu i przyznania im dostępu do terminala (otwiera się w nowej zakładce). Następnie osoby atakujące rozprzestrzeniałyby się w sieci, mapowały i wyodrębniały wrażliwe dane oraz szyfrowały każde urządzenie znalezione w sieci.
Ofiary znajdowały następnie żądanie okupu, README.TXT, w którym uzyskiwały łącze do Tora, dzięki czemu mogłyby rozpocząć negocjacje z atakującymi. Najwyraźniej Royal prosi o klucz deszyfrujący od 250,000 2 do XNUMX milionów euro. Podczas negocjacji osoby atakujące odszyfrowały niektóre pliki, aby udowodnić, że ich program działa, i pokazały listę plików, które opublikują w Internecie, jeśli żądania nie zostaną spełnione.
Jak dotąd żadna ofiara nie zapłaciła za klucz deszyfrujący, więc nie można wiedzieć, jak skuteczna jest grupa. Miejsce ucieczki Royal nie zostało jeszcze odnalezione.
Przez: BleepingComputer (Otwiera się w nowej karcie)