Ao contrário de outras operações de ransomware, Royal não oferece Ransomware-as-a-Service, e parece ser um grupo privado sem uma rede de afiliados.

Uma vez comprometida a rede da vítima, os agentes de ameaças implantam a ferramenta de pós-exploração Cobalt Strike para manter a persistência e realizar movimentos laterais.

O Royal ransomware é escrito em C++, infectou os sistemas Windows e exclui todas as cópias de sombra de volume para impedir a recuperação de dados. O ransomware criptografa os compartilhamentos de rede, encontrados na rede local e nas unidades locais, com o algoritmo AES.

O FBI e a CISA lançaram um Cybersecurity Advisory, com o objetivo de fornecer para as organizações, as táticas, técnicas, procedimentos (TTPs) e indicadores de comprometimento (IOCs) associados a este ransomware.

De acordo com especialistas do governo, os ataques do ransomware Royal atingiram vários setores críticos de infraestrutura, incluindo manufatura, comunicações, saúde e educação.

Os operadores exigiram resgates que variam de aproximadamente US$ 1 milhão a US$ 11 milhões em Bitcoin.