Royal é uma operação ransomware em rápido crescimento que visa grandes empresas em que os seus pedidos de resgate variam entre $250.000 e mais de $2 milhões.
De acordo com a investigação activa sobre o grupo Royal, os seus participantes são compostos por operadores experientes de outros grupos de ransomware.
Por esta razão, com o know-how que o grupo acumulou de grupos anteriores, a Royal Ransomware não opera no sistema Ransomware as a Service (RaaS). Royal é um grupo privado sem afiliados externos.
Quando o grupo iniciou as suas actividades, o CEO da AdvIntel revelou que os operadores da Royal Ransomware utilizavam encriptadores de outros ransomware, tais como o BlackCat.
Algum tempo depois mudaram para um encriptador proprietário chamado Zeon até ao actual Royal ransomware.
O grupo utiliza, aparentemente, o método de phishing de chamada de retorno. Este consiste em fazer-se passar por empresas que oferecem serviços de subscrição. Onde enviam um e-mail fingindo ser uma renovação de assinatura.
Nesse mesmo email, existe um número de telefone para cancelar a suposta subscrição. Os actores estarão do outro lado da linha e utilizam a engenharia social para persuadir as vítimas a instalar software de acesso remoto.
Sem se aperceber, a vítima entrega inconscientemente o acesso à sua rede corporativa ao seu agressor. É perceptível com o Royal ransomware que os cibercriminosos estão a ser cada vez mais criativos nos seus ataques.
Uma vez no ambiente, os atacantes recolhem credenciais, espalham-se lateralmente para alcançar o máximo de dados possível, roubam e encriptam todos os ficheiros.
Após serem encriptados, o nome do ficheiro é alterado e ganha a extensão .royal para o nome do ficheiro original. Um dos alvos mais procurados do grupo Royal são os ficheiros de máquinas virtuais (.vmdk).
A nota de resgate é então gerada. Um ficheiro de texto simples chamado README.txt, que informa a vítima sobre o ataque e informa-a sobre os meios para recuperar os seus dados, o que equivale a pagar o pedido de resgate.
No entanto, esta não é a única forma de recuperar os dados. Em vez de confiar em criminosos e financiar futuros ataques, empresas como a Digital Recovery estão agora a posicionar-se como a melhor solução.
Recuperar ficheiros encriptados por Royal ransomware
A Digital Recovery, com mais de 20 anos no mercado da recuperação de dados, tem ajudado centenas de empresas vítimas de ransomware.
Temos desenvolvido soluções que nos permitem recuperar ficheiros encriptados por ransomware em quase todos os dispositivos de armazenamento, tais como bases de dados, servidores, máquinas virtuais, sistemas RAID e outros.
As nossas soluções e projectos baseiam-se na General Data Protection Regulation (GDPR) e fornecemos aos nossos clientes um acordo de confidencialidade (NDA).
A maior parte do tempo podemos agir remotamente. Assim, onde quer que o incidente ocorra, a Digital Recovery pode ajudá-lo.
Fale connosco e recupere os seus dados rapidamente.
