El monto del rescate va desde 250,000 y sube hasta los 2 millones de dólares. El grupo de hackers Royal o Real, anteriormente silencioso y discreto, emergió de las sombras y atacó activamente a sus víctimas.
Los atacantes utilizan un ataque de phishing de devolución de llamada: envían correos electrónicos a los usuarios en los que se hacen pasar por representantes de proveedores de alimentos o software de suscripción e invitan a la víctima a llamar al número de teléfono especificado en el correo electrónico.
Así opera el grupo Royal o Real
Si la víctima sigue el correo electrónico y llama al número especificado, los hackers informáticos utilizan técnicas de ingeniería social para convencerlos de que descarguen un software que les dará acceso remoto al escritorio de la víctima, dándoles la oportunidad de obtener acceso inicial a la red corporativa.
Después de infiltrarse con éxito en la red, los atacantes siguen el escenario estándar: se afianzan en el sistema utilizando Cobalt Strike, recopilan credenciales, roban información corporativa y luego simplemente cifran los dispositivos conectados a la red. El ransomware desarrollado por el grupo agrega la extensión .royal a los nombres de los archivos cifrados.
Archivos encriptados por malware de Royal o Real
Según las víctimas, los atacantes también apuntan a la máquina virtual cifrando directamente los archivos del disco (VMDK). Y al final del ataque, los hackers informáticos imprimen notas de rescate en impresoras conectadas a la red corporativa o crean archivos con ellas en dispositivos comprometidos.
Las notas contienen un enlace a una página para negociaciones con la agrupación. Se genera un enlace único para cada víctima. La página para negociar con los hackers informáticos parece simple: alberga un chat en el que la víctima puede comunicarse con los operadores de ransomware.
Se sabe que durante las negociaciones, los atacantes exigieron a las víctimas desde 250 mil hasta más de dos millones de dólares. El mayor chantaje hasta la fecha.
Chateando con los intrusos
Además, el grupo solía demostrar el rendimiento de su descifrador y compartía listas de archivos robados con las víctimas. Los expertos recomiendan que todos los miembros de los equipos de seguridad y administradores de sistemas vigilen las actividades del grupo y estén preparados para posibles ataques, que seguramente aumentarán en un futuro próximo, dado el éxito que han tenido hasta la fecha con sus actividades delictivas.
