Il ransomware Royal ha guadagnato slancio dall’inizio delle sue operazioni l’anno scorso, estorcendo a oltre cento organizzazioni richieste di riscatto nell’ordine delle sei cifre per vittima.
L’Agenzia per la sicurezza informatica e dell’infrastruttura statunitense (CISA) ha dichiarato che i criminali informatici hanno utilizzato una variante del ransomware Royal per attaccare organizzazioni americane e internazionali. In Italia c’è stata la vicenda del comune di Torre del Greco.
Una volta entrati nel sistema della vittima, i criminali informatici disabilitano il software antivirus e prelevano grandi quantità di dati prima di distribuire il malware di crittografia. La Central Intelligence Agency (CIA) ritiene che il malware di Royal sia derivato da un software maligno chiamato Zeon.
“Gli attori di Royal hanno fatto richieste di riscatto che vanno da circa 1 milione a 11 milioni di dollari in Bitcoin. Negli incidenti osservati, gli attori di Royal non includono l’importo del riscatto e le istruzioni per il pagamento come parte della nota di riscatto iniziale”, ha dichiarato la CISA in una nota informativa.
Il ransomware Royal si distingue un po’ dalla massa per le sue tecniche di infezione. Ad esempio, gli attori minacciosi non includono l’importo del riscatto o le istruzioni di pagamento nella nota di riscatto iniziale. Invece, i criminali informatici chiedono alle vittime di interagire direttamente con loro.
Secondo l’organizzazione di monitoraggio del deep web Darkfeed, durante la sua esistenza il ransomware Royal ha elencato 112 vittime sul suo sito di leak. Tuttavia, le gang di ransomware non rivelano tutti i loro obiettivi, il che significa che il numero reale di vittime potrebbe essere significativamente maggiore.
I ricercatori dell’azienda di sicurezza informatica Malwarebytes sostengono che Royal abbia vantato 19 vittime solo a febbraio, ponendo il gruppo tra i più prolifici nel gioco del ransomware. Solo LockBit, BlackCat e Vice Society hanno colpito più organizzazioni.
Scoperto per la prima volta nel 2022, Royal ha utilizzato un ransomware di terze parti, ovvero BlackCat e Zeon. Tuttavia, la gang sta distribuendo il proprio ransomware dal settembre dello scorso anno. Il gruppo di Royal ha fatto notizia quando ha aggiunto il circuito di Formula 1 di Silverstone nel Regno Unito alla sua lista di vittime.
