Royal es una operación de ransomware de rápido crecimiento que se dirige a grandes empresas, en las que sus peticiones de rescate oscilan entre 250.000 y más de 2 millones de dólares.
Según las investigaciones activas sobre el grupo Royal, sus participantes están compuestos por operativos experimentados de otros grupos de ransomware.
Por ello, con los conocimientos que el grupo ha acumulado de grupos anteriores, Royal Ransomware no opera en el sistema de Ransomware as a Service (RaaS). Royal es un grupo privado que no se compone de afiliados externos.
Cuando el grupo comenzó sus actividades, el director general de AdvIntel reveló que los operarios del ransomware Royal utilizaban encriptadores de otros ransomware como BlackCat.
Un tiempo después cambiaron a un encriptador propio llamado Zeon hasta que dieron con el actual ransomware Royal.
Al parecer, el grupo utiliza el método de phishing de devolución de llamada. Consiste en hacerse pasar por empresas que ofrecen servicios de suscripción. Donde envían un correo electrónico simulando ser renovaciones de suscripción.
En ese mismo correo electrónico, hay un número de teléfono para cancelar la supuesta suscripción. Los actores estarán al otro lado de la línea y utilizarán la ingeniería social para persuadir a las víctimas de que instalen un software de acceso remoto.
Sin darse cuenta, la víctima entrega, sin saberlo, el acceso a su red corporativa a su atacante. Con el ransomware Royal se nota que los ciberdelincuentes son cada vez más creativos en sus ataques.
Una vez en el entorno, los atacantes recogen las credenciales, se extienden lateralmente para alcanzar la mayor cantidad de datos posible, roban y cifran todos los archivos.
Después de ser encriptado, el nombre del archivo se cambia y gana la extensión .royal al nombre original del archivo. Uno de los objetivos más buscados por el grupo Royal son los archivos de máquinas virtuales (.vmdk).
A continuación se genera la nota de rescate. Un simple archivo de texto llamado README.txt, en el que se informa a la víctima del ataque y de los medios para recuperar sus datos, que consisten en pagar la petición de rescate.
Sin embargo, esa no es la única forma de recuperar los datos. En lugar de confiar en los delincuentes y financiar futuros ataques, empresas como Digital Recovery se posicionan ahora como la mejor solución.
Recuperar los archivos encriptados por el Royal ransomware
Digital Recovery, con más de 20 años en el mercado de la recuperación de datos, ha ayudado a cientos de empresas que han sido víctimas del ransomware.
Hemos desarrollado soluciones que permiten recuperar los archivos encriptados por el ransomware en casi todos los dispositivos de almacenamiento, tales como, base de datos, servidores, máquinas virtuales, sistemas RAID y otros.
Nuestras soluciones y nuestros proyectos se basan en la General Data Protection Regulation (GDPR) y proporcionamos a nuestros clientes un acuerdo de confidencialidad (NDA).
La mayoría de las veces podemos actuar a distancia. Por lo tanto, dondequiera que se produzca el incidente, Digital Recovery puede ayudarle.
Hable con nosotros y recupere sus datos rápidamente.
