Royal Ransomware

Le Royal Ransomware appartient à un groupe de cybercriminalité relativement nouveau. Au départ, les pirates utilisaient les outils de cryptage d'autres groupes d'attaque similaires, mais ont depuis utilisé les leurs. Le groupe cible les personnes morales et exige le paiement d'une rançon allant de 250 000 $ jusqu'à 2 millions de dollars. Une caractéristique notable du groupe Royal Ransomware est qu'il ne fonctionne pas comme un RaaS (Ransomware-as-a-Service) et est plutôt un groupe entièrement privé sans aucune filiale.

La chaîne d'infection qui se termine finalement par le déploiement de la menace Royal Ransomware commence par des attaques de phishing ciblées. Les acteurs de la menace utilisent ce que l'on appelle le phishing par rappel pour compromettre leurs cibles. Ils commencent par envoyer des e-mails leurres concernant de faux renouvellements d'abonnement pour un service de livraison de nourriture légitime ou un produit logiciel. Les victimes sont informées que pour annuler l'abonnement supposé, elles devront appeler un numéro de téléphone fourni. Les opérateurs téléphoniques travaillent pour les cybercriminels et utiliseront diverses tactiques d'ingénierie sociale pour convaincre la victime de lui fournir un accès à distance à l'ordinateur. Le logiciel installé sert de point d'accès initial au réseau interne de l'entreprise.

Lorsque la menace Royal Ransomware est déployée et exécutée sur les appareils des victimes, elle crypte une partie importante des données qui y sont stockées. Tous les fichiers verrouillés auront '.royal' ajouté à leurs noms d'origine. La menace est capable de chiffrer les fichiers de disque virtuel (VMDK) associés aux machines virtuelles. Lorsque les données ciblées ont été traitées, la menace de ransomware procédera à la livraison de sa note de rançon. Le message des pirates sera déposé sous forme de fichier "README.TXT" sur les systèmes piratés, en plus d'être imprimé par toutes les imprimantes connectées au réseau de l'entreprise.

La note de rançon stipule que les victimes doivent établir un contact avec les cybercriminels en visitant leur site Web dédié hébergé sur le réseau TOR. Le site consiste principalement en un service de chat pour parler avec les pirates. Les victimes peuvent généralement envoyer quelques fichiers à décrypter gratuitement à titre de démonstration. Bien que le groupe Royal Ransomware prétend collecter des données confidentielles auprès de ses victimes dans le cadre d'un stratagème de double extorsion, jusqu'à présent, aucun site de fuite de données n'a été découvert.