به گزارش کارگروه حملات سایبری سایبربان؛ باج افزار رویال جدیدترین عملیات باج افزاری است که پشتیبانی برای رمزنگاری دستگاه های لینوکسی را به گونه های بدافزاری اخیر خود اضافه کرده است. این گونه ها ماشین های مجازی VMware ESXi را هدف قرار می دهند.
این گونه باج افزاری جدید از باج افزار لینوکسی رویال توسط مرکز تحلیل تهدید Equinix شناسایی شده و با استفاده از این خط فرمان اجرا می شود.
این باج افزار به هنگام رمزنگاری فایل ها، افزونه .royal_u را به تمامی فایل های رمزنگاری شده موجود بر روی ماشین مجازی ضمیمه می کند.
از 62 موتور اسکن بدافزاری موجود بر روی ویروس توتال، 23 مورد آن موفق به شناسایی این گونه بدافزاری شده اند.
گروه باج افزاری رویال یک گروه متشکل از بازیگران مخرب فصلی است که سابقه فعالیت در گروه کونتی را در کارنامه دارند.
گروه رویال ماه ها پس از شناسایی اولیه در ژانویه 2022، فعالیت های مخرب خود را در ماه سپتامبر به صورت قابل توجهی افزایش داد.
اگرچه آن ها در ابتدا از رمزنگارهای دیگر گروه ها مانند بلک کَت استفاده می کردند اما بعد از مدتی به استفاده از رمزنگارهای ساخت خود مانند زِئون روی آوردند. (این رمزنگار نیز نوت های درخواست باج مشابه کونتی را رها سازی می کند)
مبلغ درخواستی این گروه برای باج از 250 هزار دلار شروع می شود. این مبلغ تا ده ها میلیون دلار نیز می رسد. (پس از رمزنگاری سیستم های شبکه تجاری اهداف مورد نظر)
وزارت سلامت و خدمات انسانی آمریکا در ماه دسامبر در مورد حملات سایبری گروه باج افزاری رویال به سازمان های فعال در حوزه مراقبت های سلامت عمومی هشدار داده بود.
دلیل گرایش رویال به هدف قرار دادن ماشین های مجازی ESXi می تواند گرایش کسب و کارها به استفاده از وی ام ها یا همان ماشین های مجازی باشد.
این گروه باج افزاری پس از اجرای پی لودها در میزبان های ESXi، با استفاده از یک فرمان واحد اقدام به رمزنگاری چندین سرور می کنند.
عمر مفید ده ها هزار سرور VMware ESXi که ماه اکتبر در فضای اینترنت در معرض خطر قرار گرفتند، به پایان رسید. تنها در چند ساعت، بیش از 100 سرور در سرتاسر جهان در این حملات در معرض خطر قرار گرفتند.
