La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha liberado un nuevo aviso sobre Royal ransomware, que surgió en el panorama de amenazas el año pasado.
“Después de obtener acceso a las redes de las víctimas, los actores de Royal desactivan el software antivirus y filtran grandes cantidades de datos antes de finalmente implementar el ransomware y cifrar los sistemas”, CISA dicho.
La costumbre programa de ransomwareque se ha dirigido a organizaciones estadounidenses e internacionales desde septiembre de 2022, se cree que evolucionó a partir de iteraciones anteriores que se denominaron Zeon.
Además, se dice que es operado por actores de amenazas experimentados que solían ser parte de Conti Team One, según reveló la empresa de ciberseguridad Trend Micro en diciembre de 2022.
El grupo de ransomware emplea el phishing de devolución de llamada como un medio para entregar su ransomware a las víctimas, una técnica ampliamente adoptada por grupos criminales que se separaron de la empresa Conti el año pasado luego de su cierre.
Otros modos de acceso inicial incluyen el protocolo de escritorio remoto (RDP), la explotación de aplicaciones públicas y a través de intermediarios de acceso inicial (IAB).
Las demandas de rescate realizadas por Royal varían de $ 1 millón a $ 11 millones, con ataques dirigidos a una variedad de sectores críticos, que incluyen comunicaciones, educación, atención médica y fabricación.
“Royal ransomware utiliza un enfoque de cifrado parcial único que permite al actor de amenazas elegir un porcentaje específico de datos en un archivo para cifrar”, señaló CISA. “Este enfoque le permite al actor reducir el porcentaje de cifrado para archivos más grandes, lo que ayuda a evadir la detección”.
La agencia de ciberseguridad dijo que se han utilizado múltiples servidores de comando y control (C2) asociados con Qakbot en las intrusiones de Royal ransomware, aunque actualmente no se ha determinado si el malware se basa exclusivamente en la infraestructura de Qakbot.
Las intrusiones también se caracterizan por el uso de Cobalt Strike y PsExec para el movimiento lateral, así como por la eliminación de instantáneas para evitar la recuperación del sistema. Cobalt Strike también se reutiliza para la agregación y exfiltración de datos.
A partir de febrero de 2023, Royal ransomware es capaz de apuntar a entornos Windows y Linux. Ha sido vinculado a 19 ataques solo en el mes de enero de 2023, colocándolo detrás de LockBit, ALPHV y Vice Society.