Ransomware grupa Royal, koja operiše barem od početka 2022. godine, drastično je povećala aktivnost od prošlog septembra. Grupa je do sada napala najmanje 350 meta, a ukupan iznos zahteva za otkupninom prelazi 275 miliona dolara, objavio je američki Federalni istražni biro (FBI).
Zahtevi za otkupninom kretali su se od milion do 11 miliona dolara, koje bi žrtve morale da plate kako bi povratile kontrolu nad svojim podacima ili IT sistemima.
Royal primenjuje taktiku dvostruke iznude, koja uključuje takozvanu „eksfiltraciju“ podataka pre nego što ih šifruje, odnosnio zaključa. Ako otkupnina ne bude plaćena, grupa ne samo da žrtvi onemogućava pristup podacima, već ih i javno objavljuje.
FBI i američka Agencija za sajber bezbednost i infrastrukturnu bezbednost (CISA) u svom zajedničkom obaveštenju navode da Royal prvo isključuje antivirusni softver, zatim eksfiltrira podatke, a potom primenjuje ransomware i šifrira sisteme žrtava. Većina napada počinje preko fišing imejlova.
Za razliku od većine sajber kriminalnih operacija, Royal ne precizira iznose otkupnina i ne daje uputstva za plaćanje.
Umesto toga, zahtevaju od žrtava da komuniciraju direktno sa njima preko .onion URL adrese dostupne preko anonimizovanog Tor pretraživača.
Aktivnost grupe je bila najintenzivnija u prvoj polovini 2023. godine, ali se smanjila u poslednjim mesecima, a njihov sajt na Toru je neaktivan od pre dva meseca. Postoji sumnja da Royal sada operiše pod novim imenom – Blacksuit.
Poslednja aktivnost pod imenom Royal zabeležena je u julu 2023. godine. Za razliku od Royal-a, Blacksuit sada „dodaje“ jednu ili dve žrtve na svoj sajt svakog meseca.
Obe grupe koriste legalne softverske alate i alate otvorenog koda tokom napada. Stručnjaci FBI-ja smatraju da Royal deluje kao zatvorena grupa, a ne po modelu Ransomware-as-a-Service (RaaS).