El CISA en conjunto con el FBI han emitido un aviso a comienzos de marzo respecto a la creciente amenaza de los ataques de Royal Ransomware donde su entrega asciende a más del doble en febrero de 2023 respecto a diciembre de 2022. Estos ataques han sido principalmente centrados en sectores de infraestructura crítica, que incluyen salud, recursos básicos y sistemas financieros.
Desde septiembre de 2022, los ciberdelincuentes han comprometido a organizaciones con una variante que según expertos “evolucionó a partir de iteraciones anteriores que usaban “Zeon” como cargador”, el cual, después de obtener acceso, desactiva el software antivirus y filtra grandes cantidades de datos antes de finalmente implementar el ransomware y cifrar los sistemas con su extensión .royal. El malware se actualizó recientemente para cifrar dispositivos Linux.
El grupo de Royal ransomware se descubrió por primera vez a principios de 2022, cuando utilizaban ransomware de terceros (BlackCat y Zeon), es una operación privada compuesta por actores altamente experimentados conocidos por trabajar previamente con la pandilla de ciberdelincuencia Conti (grupo de piratería vinculado a Rusia que se disolvió en junio de 2022).
Desde septiembre de 2022, el grupo ha comenzado a utilizar su propio ransomware, a partir de esta fecha sus actividades maliciosas sólo han ido en aumento, tanto así que en noviembre del mismo año, el Royal ransomware era el más potente dentro del cibercrimen y en diciembre se le relacionó con múltiples ataques a organizaciones de atención medica en EE.UU.
Su principal medio de ataque, que abarca el 66.7% de éstos, es el phishing de devolución de llamadas, haciéndose pasar por proveedores de software, envían correos que fingen ser renovaciones de suscripción y que contienen números de teléfono a los que la víctima puede llamar para cancelar la suscripción.
Cuando una víctima llama, los ciber delincuentes utilizan ingeniería social para convencerle de que instale un software de acceso remoto. Adicional a esto, Royal utiliza otros métodos como alojar archivos de instalación falsos en sitios de descarga de software. Estos ciber atacantes también se involucran en tácticas de doble extorsión, amenazando con divulgar públicamente los datos cifrados si la víctima no paga el rescate, a través de medios como Twitter.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a esta amenaza:
Por otra parte, las principales acciones que se pueden tomar frente a este tipo de ataques son:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a
https://techcrunch.com/2023/03/03/us-government-royal-ransomware-advisory/