Uma operação de ransomware chamada Royal está se expandindo rapidamente, visando corporações com demandas de resgate que variam de US$ 250.000 a mais de US$ 2 milhões.

Royal é uma operação lançada em janeiro de 2022 e consiste em um grupo de agentes de ransomware examinados e experientes de operações anteriores.

Ao contrário da maioria das operações de ransomware ativas, a Royal não opera como um Ransomware-as-a-Service, mas sim um grupo privado sem afiliados.

O grupo Royal utiliza ataques de phishing de retorno de chamada direcionados, onde eles se passam por fornecedores de software e entrega de alimentos em e-mails que fingem ser renovações de assinatura.

Esses e-mails de phishing contêm números de telefone que a vítima pode entrar em contato para cancelar a suposta assinatura, mas, na realidade, é um número de um serviço contratado pelos agentes da ameaça.

Depois de obter acesso a uma rede, eles realizam as mesmas atividades normalmente usadas por outras operações de ransomware operadas por humanos. Eles implantam o Cobalt Strike para persistência, coletam credenciais, espalham-se lateralmente pelo domínio do Windows, roubam dados e, por fim, criptografam dispositivos.