Royal - это достаточно новая операция, существующая, по крайней мере, с начала 2022 года. Цель группы и ее вредоносного ПО типична: получить доступ к среде жертвы, зашифровать ее данные и потребовать выкуп за возвращение доступа к любым затронутым файлам.
Единого вектора заражения не существует. Вместо этого заражение зависит от конкретной жертвы.
В своей записке о выкупе группа намекает, что она собирается использовать тактику "двойного вымогательства", угрожая выдать данные, полученные от жертвы, в дополнение к тому, чтобы сделать данные жертвы недоступными с помощью шифрования, если не будет выплачен выкуп. Однако это еще не доказано окончательно.
В своем заявлении, которое выглядит как легкая насмешка, группа утверждает, что ее действия являются "услугой пентестирования" и что она предоставит жертве "обзор безопасности".
Сама программа-вымогатель представляет собой 64-битный исполняемый файл для Windows, написанный на языке C++.
Она запускается через командную строку, что говорит о том, что она предназначена для запуска через оператора после предоставления доступа к среде другим способом.
Для запуска процесса шифрования необходимо передать два аргумента. "-path" определяет, что должно быть зашифровано, будь то отдельный каталог или целый диск. "-id" определяет, как группа идентифицирует своих жертв.
Indicators of Compromise
SHA256
- 2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f
- 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926