Royal Ransomware

Royal Ransomware pertenece a un grupo de ciberdelincuencia relativamente nuevo. Inicialmente, los piratas informáticos utilizaron las herramientas de cifrado de otros grupos de ataque similares, pero desde entonces han pasado a utilizar las suyas propias. El grupo se dirige a entidades corporativas y exige el pago de rescates que van desde $250,000 hasta $2 millones. Una característica notable del grupo Royal Ransomware es que no opera como un RaaS (Ransomware-as-a-Service) y es, en cambio, un grupo completamente privado sin afiliados.

La cadena de infección que finalmente termina con el despliegue de la amenaza Royal Ransomware, comienza con ataques de phishing dirigidos. Los actores de amenazas utilizan lo que se conoce como phishing de devolución de llamada para comprometer sus objetivos. Comienzan enviando correos electrónicos atractivos sobre renovaciones de suscripciones falsas para un producto de software o un servicio de entrega de alimentos legítimo. Se les dice a las víctimas que para cancelar la supuesta suscripción, deberán llamar a un número de teléfono proporcionado. Los operadores telefónicos trabajan para los ciberdelincuentes y utilizarán varias tácticas de ingeniería social para convencer a la víctima de que les proporcione acceso remoto a la computadora. El software instalado sirve como punto de acceso inicial a la red corporativa interna.

Cuando la amenaza Royal Ransomware se implementa y ejecuta en los dispositivos de las víctimas, cifrará una parte significativa de los datos almacenados allí. Todos los archivos bloqueados tendrán '.royal' añadido a sus nombres originales. La amenaza es capaz de cifrar los archivos del disco virtual (VMDK) asociados con las máquinas virtuales. Cuando se hayan procesado los datos específicos, la amenaza de ransomware procederá a entregar su nota de rescate. El mensaje de los piratas informáticos se colocará como un archivo 'README.TXT' en los sistemas violados, además de ser impreso por cualquier impresora conectada a la red corporativa.

La nota de rescate establece que las víctimas deben establecer contacto con los ciberdelincuentes visitando su sitio web dedicado alojado en la red TOR. El sitio consiste principalmente en un servicio de chat para hablar con los piratas informáticos. Las víctimas generalmente pueden enviar un par de archivos para descifrarlos de forma gratuita como demostración. Aunque el grupo Royal Ransomware afirma recopilar datos confidenciales de sus víctimas en un esquema de doble extorsión, hasta el momento no se ha descubierto ningún sitio de fuga de datos.