Ciberseguridad 360 | FBI revela extorsión de 275 millones de dólares a 350 víctimas del Ransomware Royal

El FBI y CISA revelaron en un aviso conjunto que la banda de ransomware Royal ha comprometido las redes de al menos 350 organizaciones en todo el mundo desde septiembre de 2022.

En una actualizaci�n al aviso original publicado en marzo con informaci�n adicional descubierta durante las investigaciones del FBI, las dos agencias tambi�n se�alaron que la operaci�n de ransomware est� vinculada a m�s de 275 millones de d�lares en demandas de rescate.

"Desde septiembre de 2022, Royal ha dirigido su atenci�n a m�s de 350 v�ctimas conocidas en todo el mundo, y las demandas de ransomware han superado los 275 millones de d�lares".

"Royal realiza la extracci�n de datos y extorsi�n antes del cifrado y luego publica los datos de la v�ctima en un sitio de filtraciones si no se paga el rescate. Los correos electr�nicos de phishing se encuentran entre los vectores m�s exitosos para el acceso inicial por parte de los actores de amenazas de Royal".

En marzo, el FBI y CISA compartieron por primera vez indicadores de compromiso y una lista de t�cticas, t�cnicas y procedimientos (TTP) para ayudar a los defensores a detectar y bloquear intentos de desplegar cargas �tiles de ransomware Royal en sus redes.

El aviso conjunto fue emitido despu�s de que el equipo de seguridad del Departamento de Salud y Servicios Humanos (HHS) revelara en diciembre de 2022 que la operaci�n de ransomware estaba detr�s de m�ltiples ataques contra organizaciones de atenci�n m�dica en EE. UU.

�De Royal a BlackSuit?

La actualizaci�n del aviso tambi�n se�ala que Royal podr�a estar planeando una iniciativa de cambio de marca y/o una variante derivada, con el ransomware BlackSuit exhibiendo varias caracter�sticas de codificaci�n compartidas con Royal.

La banda de ransomware Royal estaba probando un nuevo cifrador BlackSuit, que comparte muchas similitudes con el cifrador habitual de la operaci�n.

Aunque se cre�a que la operaci�n de ransomware Royal cambiar�a de marca desde mayo cuando surgi� la operaci�n BlackSuit, esto nunca ocurri�. Royal sigue apuntando activamente a organizaciones empresariales utilizando BlackSuit en ataques limitados.

Dado que BlackSuit es una operaci�n independiente, es posible que Royal est� planeando lanzar un subgrupo enfocado en ciertos tipos de v�ctimas, ya que un cambio de marca ya no tiene sentido una vez que se han descubierto similitudes entre los dos cifradores.

"Creo que podr�amos ver m�s cosas como BlackSuit pronto. Pero hasta ahora, parece que tanto el nuevo cargador como el nuevo bloqueador Blacksuit fueron un experimento fallido", dijo Yelisey Bohuslavskiy, socio y jefe de I+D en RedSense.

V�nculos con la banda de ciberdelincuentes Conti

Royal Ransomware es una operaci�n privada de actores de amenazas altamente capacitados conocidos por trabajar anteriormente con la infame banda de ciberdelincuentes Conti.

A pesar de ser detectados por primera vez en enero de 2022, sus actividades maliciosas solo han aumentado en intensidad desde septiembre del mismo a�o.

Aunque inicialmente utilizaron cifradores de ransomware de otras operaciones como ALPHV/BlackCat, probablemente para evitar llamar la atenci�n, la banda ha pasado a implementar sus propias herramientas.

Aunque su primer cifrador, Zeon, dejaba notas de rescate reminiscentes de las generadas por Conti, cambiaron al cifrador Royal despu�s de una rebranding a mediados de septiembre de 2022. M�s recientemente, el malware ha sido actualizado para cifrar dispositivos Linux en ataques dirigidos a m�quinas virtuales VMware ESXi.

A pesar de que generalmente infiltran las redes de los objetivos aprovechando vulnerabilidades de seguridad en dispositivos de acceso p�blico, los operadores de Royal tambi�n son conocidos por ataques de phishing de retorno.

Durante estos ataques, cuando los objetivos llaman a los n�meros de tel�fono incrustados en correos electr�nicos h�bilmente disfrazados como renovaciones de suscripci�n, los atacantes aprovechan t�cticas de ingenier�a social para enga�ar a las v�ctimas para que instalen software de acceso remoto, otorg�ndoles acceso a la red objetivo.

El modus operandi de los operadores de Royal implica cifrar los sistemas empresariales de sus objetivos y exigir rescates sustanciales que van desde 250,000 hasta decenas de millones por ataque.

Fuente: bleepingcomputer.com