Был обнаружен новый оператор программы-вымогателя, активно работающий в дикой природе, и, хотя он является новым участником, он уже требует больших выплат выкупа.
В новом отчете BleepingComputer совместно с компанией AdvIntel, специализирующейся на кибербезопасности, проанализированы действия группы, шифрование и методология.
Группа, по-видимому, состоит из опытных участников программ-вымогателей из других операций. Они объединились в январе этого года и работают не как RaaS, а как частная группа с дочерними компаниями. Сначала группировка использовала шифры от других преступников, а именно от BlackCat, но вскоре обратилась к собственным решениям. Первый такой шифратор называется Zeon.
Все начинается с фишинга
Ранее в этом месяце группа перешла с Zeon на Royal, используя это имя как в записке о выкупе, так и в качестве расширения файла для зашифрованных документов.
В MO нет ничего необычного: злоумышленники сначала отправляют фишинговое письмо и призывают жертв перезвонить им. Во время звонка злоумышленники убедили жертв установить программное обеспечение для удаленного доступа и предоставить им доступ к терминалу (откроется в новой вкладке). После этого злоумышленники будут распространяться по сети, сопоставлять и извлекать конфиденциальные данные, а также шифровать любое устройство, найденное в сети.
Затем жертвы находили записку с требованием выкупа, README.TXT, в которой они получали ссылку Tor, по которой они могли вступить в переговоры с злоумышленниками. Судя по всему, Royal просит от 250,000 2 до XNUMX миллионов евро за ключ дешифрования. В ходе переговоров злоумышленники расшифровали некоторые файлы, чтобы доказать, что их программа работает, и показали список файлов, которые они опубликуют в Интернете, если запросы не будут выполнены.
Пока ни одна жертва не заплатила за ключ дешифрования, поэтому невозможно узнать, насколько успешна группа. Место побега Роял до сих пор не найдено.
Через: BleepingComputer (открывается в новой вкладке)