La operación Royal Ransomware utiliza ataques de phishing con un señuelo de llamada perdida

Se detectaron nuevas operaciones del ransomware Royal. Los actores maliciosos exigen una cantidad de rescate de $250.000 a 2 millones de dólares, apuntando principalmente a entidades corporativas. La operación de ransomware se observó por primera vez en enero de 2022. Las muestras sugieren que el ransomware cambió de nombre a Royal a mediados de septiembre. […]

Se detectaron nuevas operaciones del ransomware Royal. Los actores maliciosos exigen una cantidad de rescate de $250.000 a 2 millones de dólares, apuntando principalmente a entidades corporativas. La operación de ransomware se observó por primera vez en enero de 2022.

Las muestras sugieren que el ransomware cambió de nombre a Royal a mediados de septiembre. Según los investigadores, los ciberdelincuentes son posiblemente un grupo compuesto por miembros de otras operaciones de ransomware experimentadas, porque sus ataques tienen componentes de diferentes bandas vistas previamentes.

Por ejemplo, utilizaron un cifrador del grupo de ransomware BlackCat. Sin embargo, ahora han comenzado a desarrollar sus propios encriptadores.
El primer encriptador fue Zeon que generó una nota de rescate similar a la nota de Conti.

Para atraer a las víctimas, el grupo Royal utiliza ataques de phishing de devolución de llamada, haciéndose pasar por proveedores de software y de entrega de alimentos, instando a la víctima potencial a renovar estas llamadas suscripciones.

Los correos electrónicos de phishing contienen números de teléfono a los que se supone que las víctimas deben llamar para cancelar sus suscripciones y evitar cargos. Cuando la víctima llama al número, los actores de amenazas que se hacen pasar por operadores de servicios intentan convencerlos de que instalen un software de acceso remoto, proporcionando acceso inicial a las redes.

Al obtener acceso a la red corporativa, los actores de amenazas realizan manualmente las siguientes etapas de la operación maliciosa:
Implementan la herramienta Cobalt Strike para recopilar credenciales, moverse lateralmente por el dominio de Windows, robar datos y, finalmente, cifrar los dispositivos de la víctima.

Además, los piratas informáticos apuntan a las máquinas virtuales mediante el cifrado de archivos de disco virtual (VMDK).