Se ha descubierto un nuevo operador de ransomware activo en la naturaleza, y aunque es un nuevo participante, ya está exigiendo importantes pagos de rescate.
Un nuevo informe de BleepingEquipo junto con la firma de inteligencia de ciberseguridad AdvIntel ha analizado las actividades del grupo, su encriptador y su metodología.
Aparentemente, el grupo está formado por actores de ransomware experimentados que provienen de otras operaciones. Unieron fuerzas en enero de este año y no funcionan como un RaaS, sino como un grupo privado con afiliados. Al principio, el grupo usó los encriptadores de otros delincuentes, a saber, BlackCat, pero pronto cambió a soluciones propietarias. El primer encriptador de este tipo se llama Zeon.
Comienza con un phishing
A principios de este mes, el grupo cambió el nombre de Zeon a Royal, usando ese nombre tanto en la nota de rescate como en la extensión de archivo para documentos encriptados.
El MO no es nada fuera de lo común: los atacantes primero enviarían un correo electrónico de phishing e instarían a las víctimas a que les devolvieran la llamada. En la llamada, los atacantes convencían a las víctimas para que instalaran un software de acceso remoto y les otorgaban acceso al terminal. (se abre en una pestaña nueva). Después de eso, los atacantes se dispersarían por la red, mapearían y extraerían datos confidenciales y cifrarían todos los dispositivos encontrados en la red.
Luego, las víctimas encontrarían una nota de rescate, README.TXT, en la que obtendrían un enlace Tor donde pueden entablar negociaciones con los atacantes. Supuestamente, Royal pide entre $250,000 y $2 millones por la clave de descifrado. Durante las negociaciones, los atacantes descifrarían algunos archivos para mostrar que su programa funciona y mostrarían la lista de archivos que publicarían en Internet si no se cumplen las demandas.
Hasta el momento no hay informes de víctimas que realmente paguen por la clave de descifrado, por lo que es imposible saber qué tan exitoso es el grupo. El sitio de fuga de Royal aún no se ha encontrado.
Vía: BleepingComputer (se abre en una pestaña nueva)