Royal Ransomware
Die Royal Ransomware gehört zu einer relativ neuen Cybercrime-Gruppe. Anfangs nutzten die Hacker die Verschlüsselungstools anderer ähnlicher Angriffsgruppen, sind aber inzwischen dazu übergegangen, ihre eigenen zu verwenden. Die Gruppe zielt auf Unternehmen ab und fordert die Zahlung von Lösegeld in Höhe von 250.000 bis zu 2 Millionen US-Dollar. Ein bemerkenswertes Merkmal der Royal Ransomware-Gruppe ist, dass sie nicht als RaaS (Ransomware-as-a-Service) operiert, sondern eine vollständig private Gruppe ohne verbundene Unternehmen ist.
Die Infektionskette, die schließlich mit dem Einsatz der Royal Ransomware-Bedrohung endet, beginnt mit gezielten Phishing-Angriffen. Die Angreifer verwenden sogenanntes Callback-Phishing, um ihre Ziele zu kompromittieren. Sie beginnen mit dem Versenden von Lock-E-Mails über gefälschte Abonnementverlängerungen für einen legitimen Lebensmittellieferdienst oder ein Softwareprodukt. Den Opfern wird gesagt, dass sie eine angegebene Telefonnummer anrufen müssen, um das angebliche Abonnement zu kündigen. Die Telefonisten arbeiten für die Cyberkriminellen und verwenden verschiedene Social-Engineering-Taktiken, um das Opfer davon zu überzeugen, ihm Fernzugriff auf den Computer zu gewähren. Die installierte Software dient als erster Zugangspunkt zum internen Unternehmensnetzwerk.
Wenn die Royal Ransomware-Bedrohung auf den Geräten der Opfer bereitgestellt und ausgeführt wird, verschlüsselt sie einen erheblichen Teil der dort gespeicherten Daten. Bei allen gesperrten Dateien wird an ihren ursprünglichen Namen „.royal“ angehängt. Die Bedrohung ist in der Lage, die mit virtuellen Maschinen verknüpften virtuellen Festplattendateien (VMDK) zu verschlüsseln. Wenn die Zieldaten verarbeitet wurden, wird die Ransomware-Bedrohung damit fortfahren, ihre Lösegeldforderung zuzustellen. Die Hacker-Nachricht wird als „README.TXT“-Datei auf den angegriffenen Systemen abgelegt und von allen mit dem Unternehmensnetzwerk verbundenen Druckern ausgedruckt.
Die Lösegeldforderung besagt, dass die Opfer Kontakt mit den Cyberkriminellen aufnehmen müssen, indem sie ihre spezielle Website besuchen, die im TOR-Netzwerk gehostet wird. Die Seite besteht hauptsächlich aus einem Chat-Dienst, um mit den Hackern zu sprechen. Opfer können normalerweise ein paar Dateien zur kostenlosen Entschlüsselung als Demonstration senden. Obwohl die Royal Ransomware-Gruppe behauptet, vertrauliche Daten ihrer Opfer in einem doppelten Erpressungsschema zu sammeln, wurde bisher keine Datenleckstelle entdeckt.
