Группа вымогательского ПО Royal была впервые обнаружена в начале 2022 года. В то время она использовала стороннее ransomware, такое как BlackCat и пользовательское Zeon ransomware. С сентября 2022 года группа начала использовать собственное ransomware. В ноябре 2022 года Royal ransomware стала самой распространенной ransomware в сфере электронной преступности, обогнав Lockbit впервые более чем за год.
Операции с Royal ransomware начинаются по-разному. Один из методов заключается в проведении фишинговых кампаний и использовании одного из распространенных в электронной преступности загрузчиков угроз, таких как BATLOADER и Qbot. Затем загрузчик угроз загружает полезную нагрузку Cobalt Strike для продолжения вредоносной операции в зараженной среде. Эта тактика обычно используется другими операциями с выкупным ПО, включая Qbot и BlackBasta.
С середины сентября группа разработчиков вымогательского ПО набирает обороты и добавила десятки жертв на свой веб-сайт. Похоже, что группа не фокусируется на каком-то конкретном секторе, и ее жертвы варьируются от промышленных предприятий до страховых компаний и т.д. Хотя большинство жертв этой группы находятся в США, одной из наиболее известных жертв стала автогоночная трасса Silverstone Circuit в Англии.
Royal Ransomware IOCs
Indicators of Compromise
SHA256
- 250bcbfa58da3e713b4ca12edef4dc06358e8986cad15928aa30c44fe4596488
- 2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f
- 312f34ee8c7b2199a3e78b4a52bd87700cc8f3aa01aa641e5d899501cb720775
- 5fda381a9884f7be2d57b8a290f389578a9d2f63e2ecb98bd773248a7eb99fa2
- 7cbfea0bff4b373a175327d6cc395f6c176dab1cedf9075e7130508bec4d5393
- 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926
- c24c59c8f4e7a581a5d45ee181151ec0a3f0b59af987eacf9b363577087c9746
- f484f919ba6e36ff33e4fb391b8859a94d89c172a465964f99d6113b55ced429