El grupo de ransomware Royal ha pedido más de $275 millones de dólares y ha vulnerado las redes de al menos 350 organizaciones en todo el mundo desde septiembre de 2022.
De acuerdo con el Buró Federal de Investigaciones (FBI, por sus siglas en inglés) y la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA) de Estados Unidos la banda criminal ha hecho demandas de rescate que van desde aproximadamente $1 millón a $11 mdd en Bitcoin.
En un aviso de ciberseguridad conjunto, actualizaron la información sobre Royal que difundieron en marzo pasado, sobre indicadores de compromiso y una lista de tácticas, técnicas y procedimientos (TTP, por sus siglas en inglés) para ayudar a los defensores a detectar y bloquear intentos de implementar cargas útiles de ransomware en sus redes.
El primer reporte conjunto se emitió después de que el equipo de seguridad del Departamento de Salud y Servicios Humanos (HHS) revelara en diciembre de 2022 que la operación de ransomware estaba detrás de múltiples ataques contra organizaciones de atención médica de Estados Unidos.
Phishing, el medio de entrada
Según el FBI y la CISA, Royal lleva a cabo exfiltración y extorsión de datos antes del cifrado y luego publica los datos de las víctimas en un sitio de filtración si no se paga el rescate.
“Los correos electrónicos de phishing se encuentran entre los vectores más exitosos para el acceso inicial”, señala el aviso.
Además, apuntaron que el grupo criminal podría planear una iniciativa de cambio de marca o una variante derivada, con el ransomware BlackSuit exhibiendo varias características de codificación compartidas con Royal.
Si bien se creía que la operación de ransomware Royal cambiaría de nombre en mayo pasado, cuando surgió la operación de ransomware BlackSuit, esto nunca sucedió en ese momento.
Vínculos de bandas de ciberdelincuentes de Conti
Royal Ransomware es una operación privada de actores de amenazas altamente capacitados conocidos por trabajar anteriormente con la infame banda de ciberdelincuentes Conti.
Cambiaron su nombre a Quantum ransomware después de separarse de Conti y luego adoptaron el nombre Royal.
A pesar de haber sido detectado por primera vez en enero de 2022, sus actividades maliciosas no han hecho más que aumentar en intensidad desde septiembre del mismo año.
Si bien inicialmente utilizaron cifradores de ransomware de otras operaciones como ALPHV/BlackCat, probablemente para evitar llamar la atención, desde entonces la pandilla ha pasado a implementar sus propias herramientas.
Si bien su primer cifrador, Zeon, arrojó notas de rescate que recuerdan a las generadas por Conti, cambiaron al cifrador Royal después de un cambio de nombre a mediados de septiembre de 2022. Más recientemente, el malware se actualizó para cifrar dispositivos Linux en ataques dirigidos a VMware ESXi. maquinas virtuales.
Aunque normalmente se infiltran en las redes de los objetivos explotando vulnerabilidades de seguridad en dispositivos de acceso público, los operadores de Royal también son conocidos por sus ataques de phishing de devolución de llamadas.
Durante estos ataques, cuando los objetivos marcan los números de teléfono incluidos en correos electrónicos disfrazados inteligentemente de renovaciones de suscripción, los atacantes aprovechan tácticas de ingeniería social para engañar a las víctimas para que instalen software de acceso remoto, otorgándoles acceso a la red objetivo.
El modus operandi de los operadores de Royal implica cifrar los sistemas empresariales de sus objetivos y exigir rescates sustanciales que van desde 250.000 dólares hasta decenas de millones por ataque.