A Royal lett a millió dolláros zsarolóvírus

​A Royal zsarolóvírus terjesztői akár több millió dollár követelésétől sem riadnak vissza.
 

A Royal vagy másik nevén Royal Zeon kiberbanda a zsarolásra termett kártékony programját idén februárban kezdte terjeszteni. Ellentétben sok más hasonló funkcionalitású károkozótól, a Royal nem volt soha elérhető a netes feketepiacon Raas (Ransomware-as-a-Service) szolgáltatás formájában, mivel kizárólag ez a kiberbanda terjesztette a saját céljainak elérése érdekében. A szerzemény általában célzott támadásokban jutott szerephez, és ez mind a mai napig nem változott.
 
A Royal zsarolóvírus legújabb változata is számos módon képes beférkőzni egy rendszerbe. Leggyakrabban vagy különféle alkalmazások sérülékenységeit használják ki az elkövetők, vagy célzott adathalászattal próbálkoznak. Ez utóbbi esetben leginkább úgynevezett visszahívásos trükközésekkel ejtik át az áldozataikat. Ennek során például neves szoftverfejlesztő vállalatok nevében küldenek e-maileket, amelyek mondvacsinált szoftverfrissítések vásárlásáról szólnak. A küldeményekben egy telefonszám is található, amelyet, ha az áldozat felhív, akkor nem a szoftvercég munkatársa jelentkezik, hanem a csalók. Ők azt igyekeznek elérni, hogy - akár technikai támogatás formájában - hozzáférést szerezzenek a felhasználó számítógépéhez távoli menedzselésre alkalmas programok telepítésével. Ha a felhasználó ebben "közreműködik", akkor onnantól kezdve a támadók átveszik az uralmat a számítógép felett, és feltelepítik a Royalt.
 
Vitali Kremez, az AdvIntel elnök-vezérigazgatója szerint a Royal zsarolóprogramhoz olyan kiegészítők is tartoznak, amelyek révén az elkövetők a helyi hálózatokban tudják terjeszteni a szerzeményüket. Nem egy esetben a Cobalt Strike is megjelent már e támadások során.
 
A Royal károkozása onnan is felismerhető, hogy az általa kompromittált állományok fájlneve .royal kiterjesztéssel egészül ki, és ezzel együtt ezen állományok használhatatlanná válnak. A zsarolók a fertőzött rendszereken olyan fájlokat hagynak maguk után, amikben közlik a kapcsolatfelvételi lehetőségeket a váltságdíj kifizetése kapcsán. (Volt olyan eset is, amikor ezt a fájl a hálózati nyomtatón ki is nyomtatták).
 
A Royal fontos jellemzője, hogy eddig olyan támadásokban jutott szerephez, amelyek során a kiberbűnözők komoly összegeket követeltek. A váltságdíj általában 250 ezer és kétmillió dollár között mozgott.
 
Kremez szerint a Royal korábban a fájltitkosítás mellett adatszivárogtatásból is kivette a részét, de a legújabb variáns esetében a csalók még nem készítettek olyan weboldalt, amelyen lopott adatok nyilvánosságra hozatalával fenyegetőznének. Ugyanakkor könnyen elképzelhető, hogy a jövőben ez megváltozik, és a Royal is alkalmas lesz dupla zsarolások támogatására.