Royal ist eine schnell wachsende Ransomware-Gruppe, die es auf große Unternehmen abgesehen hat und Lösegeldforderungen zwischen 250.000 und mehr als 2 Millionen US-Dollar stellt.
Aktiven Recherchen über die Royal-Gruppe zufolge setzen sich ihre Teilnehmer aus erfahrenen Agenten anderer Ransomware-Gruppen zusammen.
Aus diesem Grund und dank des Know-hows, das die Gruppe in früheren Gruppen gesammelt hat, arbeitet Royal Ransomware nicht mit dem System Ransomware as a Service (RaaS). Royal ist eine private Gruppe, die keine externen Partner hat.
Als die Gruppe ihre Aktivitäten begann, enthüllte der CEO von AdvIntel, dass die Royal-Ransomware-Akteure Verschlüsselungsprogramme anderer Ransomware wie BlackCat verwendeten.
Später wechselten sie zu einem proprietären Verschlüsselungsprogramm namens Zeon, bis die aktuelle Royal-Ransomware entstand.
Die Gruppe nutzt offenbar die Methode des Callback-Phishings. Diese besteht darin, sich als Unternehmen auszugeben, die Abonnementdienste anbieten. Sie senden eine E-Mail, die vorgibt, eine Abonnementverlängerung zu sein.
In derselben E-Mail ist eine Telefonnummer angegeben, unter der man das angebliche Abonnement kündigen kann. Am anderen Ende der Leitung setzen die Täter Social Engineering ein, um die Opfer zur Installation einer Fernzugriffssoftware zu überreden.
Ohne es zu merken, überlässt das Opfer dem Angreifer unwissentlich den Zugang zu seinem Unternehmensnetzwerk. Bei Royal ransomware fällt auf, dass die Cyberkriminellen bei ihren Angriffen immer kreativer werden.
Einmal in der Umgebung angekommen, sammeln die Angreifer Anmeldeinformationen, breiten sich seitlich aus, um so viele Daten wie möglich zu erreichen, stehlen und verschlüsseln alle Dateien.
Nach der Verschlüsselung wird der Dateiname geändert und erhält die Erweiterung .royal zum ursprünglichen Dateinamen. Eines der begehrtesten Ziele der Royal-Gruppe sind Dateien virtueller Maschinen (.vmdk).
Anschließend wird die Lösegeldforderung erstellt. Dabei handelt es sich um eine einfache Textdatei namens README.txt, die das Opfer über den Angriff informiert und ihm mitteilt, wie es seine Daten wiederherstellen kann, indem es das geforderte Lösegeld bezahlt.
Dies ist jedoch nicht die einzige Möglichkeit, Daten wiederherzustellen. Anstatt sich auf Kriminelle zu verlassen und künftige Angriffe zu finanzieren, bieten Unternehmen wie Digital Recovery heute die beste Lösung an.
Wiederherstellung von Dateien, die von Royal Ransomware verschlüsselt wurden
Digital Recovery ist seit über 20 Jahren auf dem Datenrettungsmarkt tätig und hat bereits Hunderten von Unternehmen geholfen, die Opfer von Ransomware geworden sind.
Wir haben Lösungen entwickelt, die es uns ermöglichen, durch Ransomware verschlüsselte Dateien auf fast allen Speichermedien wiederherzustellen, wie z. B. Datenbanken, Server, virtuelle Maschinen, RAID-Systeme und andere.
Unsere Lösungen und Projekte basieren auf dem Allgemeinen Datenschutzgesetz (LGPD) und wir bieten unseren Kunden eine Vertraulichkeitsvereinbarung (NDA).
In den meisten Fällen sind wir in der Lage, aus der Ferne zu handeln. Egal, wo der Vorfall auftritt, Digital Recovery kann Ihnen helfen.
Sprechen Sie mit uns und stellen Sie Ihre Daten schnell wieder her.
