El CISA en conjunto con el FBI han emitido un aviso a comienzos de marzo respecto a la creciente amenaza de los ataques de Royal Ransomware donde su entrega asciende a más del doble en febrero de 2023 respecto a diciembre de 2022. Estos ataques han sido principalmente centrados en sectores de infraestructura crítica, que incluyen salud, recursos básicos y sistemas financieros.
Desde septiembre de 2022, los ciberdelincuentes han comprometido a organizaciones con una variante que según expertos “evolucionó a partir de iteraciones anteriores que usaban “Zeon” como cargador”, el cual, después de obtener acceso, desactiva el software antivirus y filtra grandes cantidades de datos antes de finalmente implementar el ransomware y cifrar los sistemas con su extensión .royal. El malware se actualizó recientemente para cifrar dispositivos Linux.
El grupo de Royal ransomware se descubrió por primera vez a principios de 2022, cuando utilizaban ransomware de terceros (BlackCat y Zeon), es una operación privada compuesta por actores altamente experimentados conocidos por trabajar previamente con la pandilla de ciberdelincuencia Conti (grupo de piratería vinculado a Rusia que se disolvió en junio de 2022).
Desde septiembre de 2022, el grupo ha comenzado a utilizar su propio ransomware, a partir de esta fecha sus actividades maliciosas sólo han ido en aumento, tanto así que en noviembre del mismo año, el Royal ransomware era el más potente dentro del cibercrimen y en diciembre se le relacionó con múltiples ataques a organizaciones de atención medica en EE.UU.
Cómo ataca Royal ransomware
Su principal medio de ataque, que abarca el 66.7% de éstos, es el phishing de devolución de llamadas, haciéndose pasar por proveedores de software, envían correos que fingen ser renovaciones de suscripción y que contienen números de teléfono a los que la víctima puede llamar para cancelar la suscripción.
Cuando una víctima llama, los ciber delincuentes utilizan ingeniería social para convencerle de que instale un software de acceso remoto. Adicional a esto, Royal utiliza otros métodos como alojar archivos de instalación falsos en sitios de descarga de software. Estos ciber atacantes también se involucran en tácticas de doble extorsión, amenazando con divulgar públicamente los datos cifrados si la víctima no paga el rescate, a través de medios como Twitter.
Recomendaciones
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a esta amenaza:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Nuestra área de Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes, como nuevas variantes del "Royal Malware". Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, de forma de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Por otra parte, las principales acciones que se pueden tomar frente a este tipo de ataques son:
- Mejorar su postura de seguridad a través de una transición a la ciberdefensa.
- Capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.
- Priorizar la reparación de vulnerabilidades explotadas conocidas.
- Habilitar y aplicar la autenticación multifactor.
Fuentes
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a
https://techcrunch.com/2023/03/03/us-government-royal-ransomware-advisory/