El Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) de EE. UU. advirtió sobre los continuos ataques de ransomware Royal dirigidos a entidades de atención médica en el país.
«Si bien la mayoría de los operadores de ransomware conocidos han realizado Ransomware-as-a-Service, Royal parece ser un grupo privado sin afiliados y mantiene la motivación financiera como su objetivo», dijo el Centro de Coordinación de Ciberseguridad del Sector de la Salud (HC3) de la agencia. dijo [PDF].
«El grupo afirma robar datos para ataques de doble extorsión, donde también extraen datos confidenciales».
Royal ransomware, por Laboratorios Fortinet FortiGuardse dice que está activo desde al menos principios de 2022. El malware es un ejecutable de Windows de 64 bits escrito en C++ y se inicia a través de la línea de comandos, lo que indica que involucra a un operador humano para desencadenar la infección después de obtener acceso a un entorno objetivo.
Además de eliminar instantáneas de volumen en el sistema, Royal utiliza la biblioteca criptográfica OpenSSL para cifrar archivos según el estándar AES y les agrega una extensión «.royal».
El mes pasado, Microsoft reveló que se ha observado que un grupo al que está rastreando con el nombre DEV-0569 implementa la familia de ransomware a través de una variedad de métodos.
Esto incluye enlaces maliciosos entregados a las víctimas por medio de anuncios maliciosos, páginas de foros falsas, comentarios de blogs o correos electrónicos de phishing que conducen a archivos de instalación no autorizados para aplicaciones legítimas como Microsoft Teams o Zoom.
Se sabe que los archivos albergan un descargador de malware denominado BATLOADER, que luego se usa para entregar una amplia variedad de cargas útiles como Gozi, Vidar, BumbleBee, además de abusar de herramientas de administración remota genuinas como Syncro para implementar Cobalt Strike para la posterior implementación de ransomware.
Se cree que la pandilla de ransomware, a pesar de su aparición solo este año, está compuesta por actores experimentados de otras operaciones, lo que indica la naturaleza en constante evolución del panorama de amenazas.
«Originalmente, la operación de ransomware usaba el encriptador de BlackCat, pero finalmente comenzó a usar Zeon, que generó una nota de ransomware que se identificó como similar a la de Conti», dijo el HHS. «Esta nota se cambió más tarde a Royal en septiembre de 2022».
La agencia señaló además que los ataques de Royal ransomware a la atención médica se han centrado principalmente en organizaciones en los EE. UU., con demandas de pago que van desde $ 250,000 a $ 2 millones.