มีการค้นพบตัวดำเนินการแรนซัมแวร์ตัวใหม่ที่ทำงานอยู่ในป่า และแม้ว่าจะเป็นผู้เข้ามาใหม่ แต่ก็มีการเรียกร้องค่าไถ่จำนวนมากอยู่แล้ว
รายงานใหม่จาก BleepingComputer ร่วมกับบริษัทข่าวกรองความปลอดภัยทางไซเบอร์ AdvIntel ได้วิเคราะห์กิจกรรม การเข้ารหัส และวิธีการของกลุ่ม
เห็นได้ชัดว่ากลุ่มนี้ประกอบด้วยนักแสดงแรนซัมแวร์ที่มีประสบการณ์จากการดำเนินการอื่นๆ พวกเขาเข้าร่วมกองกำลังในเดือนมกราคมปีนี้และไม่ได้ดำเนินการในฐานะ RaaS แต่เป็นกลุ่มส่วนตัวที่มีบริษัทย่อย ในตอนแรกกลุ่มนี้ใช้รหัสลับจากอาชญากรรายอื่น ๆ คือ BlackCat แต่ในไม่ช้าก็หันไปใช้โซลูชันที่เป็นกรรมสิทธิ์ ตัวเข้ารหัสตัวแรกเรียกว่าซีออน
มันเริ่มต้นด้วยฟิชชิ่ง
เมื่อต้นเดือนนี้ กลุ่มได้เปลี่ยนจาก Zeon เป็น Royal โดยใช้ชื่อนั้นทั้งในบันทึกค่าไถ่และเป็นนามสกุลไฟล์สำหรับเอกสารที่เข้ารหัส
MO ไม่มีอะไรผิดปกติ: ก่อนอื่นผู้โจมตีจะส่งอีเมลฟิชชิ่งและกระตุ้นให้ผู้ที่ตกเป็นเหยื่อโทรกลับ ในระหว่างการโทร ผู้โจมตีโน้มน้าวให้เหยื่อติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลและอนุญาตให้เข้าถึงเทอร์มินัล (เปิดในแท็บใหม่) หลังจากนั้น ผู้โจมตีจะกระจายไปทั่วเครือข่าย ทำแผนที่และดึงข้อมูลที่สำคัญ และเข้ารหัสอุปกรณ์ใดๆ ที่พบในเครือข่าย
เหยื่อจะพบบันทึกเรียกค่าไถ่ README.TXT ซึ่งพวกเขาจะได้รับลิงก์ Tor ที่ซึ่งพวกเขาสามารถเข้าสู่การเจรจากับผู้โจมตีได้ เห็นได้ชัดว่า Royal กำลังขอคีย์ถอดรหัสระหว่าง 250,000 ถึง 2 ล้านยูโร ในระหว่างการเจรจา ผู้โจมตีถอดรหัสไฟล์บางไฟล์เพื่อพิสูจน์ว่าโปรแกรมของพวกเขาทำงานและแสดงรายการไฟล์ที่จะเผยแพร่บนอินเทอร์เน็ตหากคำขอไม่สำเร็จ
จนถึงตอนนี้ ยังไม่มีเหยื่อรายใดจ่ายเงินสำหรับคีย์ถอดรหัส ดังนั้นจึงเป็นไปไม่ได้ที่จะรู้ว่ากลุ่มนี้ประสบความสำเร็จเพียงใด ยังหาสถานที่หลบหนีของ Royal ไม่พบ
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)