Un nouvel opérateur de ransomware a été découvert actif dans la nature, et bien qu'il s'agisse d'un nouvel entrant, il exige déjà des paiements de rançon importants.
Un nouveau rapport de BleepingComputer en collaboration avec la société de renseignement sur la cybersécurité AdvIntel a analysé les activités, le cryptage et la méthodologie du groupe.
Le groupe est apparemment composé d'acteurs de ransomware expérimentés d'autres opérations. Ils ont uni leurs forces en janvier de cette année et ne fonctionnent pas comme un RaaS, mais comme un groupe privé avec des filiales. Au début, le groupe utilisait des chiffrements d'autres criminels, à savoir BlackCat, mais s'est rapidement tourné vers des solutions propriétaires. Le premier crypteur de ce type s'appelle Zeon.
Ça commence par un hameçonnage
Plus tôt ce mois-ci, le groupe est passé de Zeon à Royal, en utilisant ce nom à la fois dans la note de rançon et comme extension de fichier pour les documents cryptés.
MO n'a rien d'extraordinaire : les attaquants enverraient d'abord un e-mail de phishing et exhorteraient les victimes à les rappeler. Au cours de l'appel, les attaquants ont convaincu les victimes d'installer un logiciel d'accès à distance et de leur accorder l'accès au terminal (ouvre dans un nouvel onglet). Après cela, les attaquants se propageraient sur le réseau, cartographieraient et extrairaient des données sensibles, et chiffreraient tout appareil trouvé sur le réseau.
Les victimes trouveraient alors une note de rançon, README.TXT, dans laquelle elles obtiendraient un lien Tor où elles pourraient entamer des négociations avec les attaquants. Royal demande apparemment entre 250,000 2 et XNUMX millions d'euros pour la clé de déchiffrement. Au cours des négociations, les attaquants ont décrypté certains fichiers pour prouver que leur programme fonctionnait et ont montré la liste des fichiers qu'ils publieraient sur Internet si les demandes n'étaient pas satisfaites.
Jusqu'à présent, aucune victime n'a payé pour la clé de déchiffrement, il est donc impossible de savoir à quel point le groupe réussit. Le site d'évasion de Royal n'a pas encore été trouvé.
Via : BleepingComputer (Ouvre dans un nouvel onglet)