La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. CISA ha publicado un nuevo aviso sobre Royal ransomware , el cual surgio en el panorama de amenazas el año pasado.
Despues de obtener acceso a las redes de las victimas, los actores de Royal desactivan el software antivirus y filtran grandes cantidades de datos antes de implementar el ransomware y cifrar los sistemas, dijo CISA .
Se cree que el programa de ransomware personalizado , que se ha dirigido a organizaciones estadounidenses e internacionales desde septiembre de 2022, evoluciono a partir de iteraciones anteriores que se denominaron Zeon.
Ademas, se dice que es operado por actores de amenazas experimentados que solian ser parte de Conti Team One, segun revelo la empresa de ciberseguridad Trend Micro en diciembre de 2022.
El grupo de ransomware emplea el phishing de devolucion de llamada como un medio para entregar su ransomware a las victimas, una tecnica ampliamente adoptada por grupos criminales que se separaron de la empresa Conti el año pasado luego de su cierre.
Otros modos de acceso inicial incluyen el protocolo de escritorio remoto RDP, la explotacion de aplicaciones públicas y a traves de intermediarios de acceso inicial (IAB).
Las demandas de rescate realizadas por Royal varían de 1 millón a 11 millones, con ataques dirigidos a una variedad de sectores criticos, que incluyen comunicaciones, educacion, atencion medica y fabricacion.
Royal ransomware utiliza un enfoque de cifrado parcial unico que permite al actor de amenazas elegir un porcentaje especifico de datos en un archivo para cifrar, señaló CISA. Este enfoque le permite al actor reducir el porcentaje de cifrado para archivos mas grandes, lo que ayuda a evadir la deteccion.
La agencia de ciberseguridad dijo que se han utilizado multiples servidores de comando y control C2 asociados con Qakbot en las intrusiones de Royal ransomware, aunque actualmente no se ha determinado si el malware se basa exclusivamente en la infraestructura de Qakbot.
Las intrusiones tambien se caracterizan por el uso de Cobalt Strike y PsExec para el movimiento lateral, ademas de confiar en el Servicio de instantaneas de volumen de Windows para eliminar las instantaneas para evitar la recuperacion del sistema. Cobalt Strike se reutiliza aun mas para la agregacion y exfiltracion de datos.
A partir de febrero de 2023, Royal ransomware es capaz de atacar entornos Windows y Linux. Se ha relacionado con 19 ataques solo en el mes de enero de 2023, colocandolo detras de LockBit, ALPHV y Vice Society.
FUENTE: THN