Обнаружен совершенно новый оператор программ-вымогателей, и хотя это новый участник, он уже требует крупных выкупов.
Новый отчет от BleepingКомпьютер совместно с фирмой AdvIntel, занимающейся разведкой в области кибербезопасности, проанализировали деятельность группы, ее шифровальщик и ее методологию.
Судя по всему, группа состоит из опытных участников программ-вымогателей, пришедших из других операций. Они объединились в январе этого года и работают не как RaaS, а как частная группа с филиалами. Сначала группа использовала шифровальщики других преступников, а именно BlackCat, но вскоре переключилась на проприетарные решения. Первый такой шифратор называется Zeon.
Начинается с фиша
Ранее в этом месяце группа переименовала Zeon в Royal, используя это имя как в записке о выкупе, так и в качестве расширения файла для зашифрованных документов.
В МО нет ничего необычного: злоумышленники сначала рассылают фишинговое письмо и призывают жертв перезвонить. Во время разговора злоумышленники убеждали жертв установить программное обеспечение для удаленного доступа и предоставлять злоумышленникам доступ к конечной точке. (откроется в новой вкладке). После этого злоумышленники рассредоточатся по сети, сопоставят и извлекут конфиденциальные данные, а также зашифруют все устройства, найденные в сети.
Затем жертвы находили записку с требованием выкупа, README.TXT, в которой они получали ссылку Tor, по которой они могли вести переговоры со злоумышленниками. Предположительно, Роял просит от 250 000 до 2 миллионов долларов за ключ дешифрования. В ходе переговоров злоумышленники расшифровывали несколько файлов, чтобы показать, как работает их программа, и показывали список файлов, которые они выложат в Интернет, если требования не будут выполнены.
Пока нет сообщений о том, что какие-либо жертвы действительно заплатили за ключ дешифрования, поэтому невозможно узнать, насколько успешна группа. Место утечки Royal еще предстоит найти.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
