ransomware real

El ransomware Royal es una cepa de malware muy sofisticada y de rápida evolución que se observó por primera vez a principios de 2022. Una lucrativa racha de grandes cacerías de brechas en 2022 hizo que Royal se situara entre las campañas de ransomware más prolíficas y amenazadoras del año. Sólo en noviembre de 2022, Dev-0569, la banda de ransomware que opera Royal, sumó 43 nuevas víctimas, exigiendo entre 250.000 y 2 millones de dólares por ataque. Entre las víctimas empresariales de Dev-0569 se encuentran Silverstone Circuit, el circuito de carreras más popular del Reino Unido; Travis Central Appraisal District, una entidad gubernamental del estado de Texas; y una importante empresa de telecomunicaciones estadounidense no identificada a la que se exigió un rescate de 60 millones de dólares. 

Dev-0569 es un grupo privado de actores de élite que buscan principalmente beneficios económicos extorsionando a víctimas de grandes empresas. El análisis de los patrones de ataque de Royal ha permitido establecer comparaciones con otras bandas de ransomware Conti y Ryuk, lo que indica que los operadores de Royal se han separado de otras operaciones de ciberdelincuencia. En lugar de vender Royal como un ransomware como servicio (RaaS), Dev-0569 adquiere acceso directo a redes corporativas a intermediarios de acceso inicial (IAB) clandestinos y gestiona las campañas de ataque internamente. Dev-0569 también emplea con frecuencia tácticas de doble extorsión -extorsionar a las víctimas para que borren los datos robados tras amenazarlas con hacerlos públicos-, además de pedir rescates por el descifrado de los archivos infectados. 

Los operadores del ransomware Royal actúan en connivencia con los IAB para obtener el acceso inicial, lo que significa que los ataques Royal podrían comenzar con una amplia gama de tácticas y cargas útiles de primera fase bien conocidas. Los ataques de Royal han incluido el uso indebido de formularios de contacto de sitios web de empresas para difundir enlaces maliciosos, atraer a las víctimas con archivos de malware troyanizados alojados en sitios de descarga que parecen auténticos y publicidad maliciosa mediante anuncios de Google. 

Otra técnica emblemática utilizada en los ataques de Royal es el uso de falsos avisos de caducidad de pruebas de software para asustar a las víctimas y conseguir que llamen a un número de teléfono de atención al cliente operado por actores de amenazas que engañan a las víctimas para que instalen directamente el malware. El uso del formulario de contacto de una empresa contra sí misma permite a los atacantes eludir los filtros de spam básicos, ya que los mensajes de los formularios de contacto de los sitios web suelen enviarse a través de la dirección de correo electrónico de una empresa, por lo que parecen fiables para los filtros de spam. 

Una vez que los operadores del ransomware real se afianzan en una red objetivo, emplean una amplia gama de tácticas y técnicas de explotación avanzadas, entre las que se incluyen:

• Instalación del kit de herramientas de pen-testing Cobalt Strike para comando y control (C2) en el sistema de una víctima.
• Despliegue de la herramienta de código abierto Nsudo, scripts PowerShell (.ps1) y scripts por lotes (.bat) para desactivar productos antivirus para puntos finales.
• Recolección de credenciales de hosts infectados para su uso en el movimiento lateral a través de una red y comprometer cuentas de servicios en la nube.
• Importación de binarios firmados y cargas útiles de malware cifradas desde dominios con certificados TLS legítimos para evitar la activación de alertas de filtros de contenido.
• Instalar otras cepas de malware conocidas, como QakBot, Gozi y Vidar, en los sistemas de la víctima.
• Al igual que otros ransomware sofisticados, Royal elimina las "instantáneas" que proporcionan copias de seguridad puntuales de los archivos.
• Uso de archivos MSI o VHD firmados para descargar cargas útiles adicionales de segunda etapa, como el malware "BATLOADER".

El módulo de cifrado de fase final de Royal es un ejecutable de 64 bits escrito en C++ diseñado para ejecutarse en sistemas Windows. Inicialmente, el módulo de cifrado de Royal tomó prestado el módulo de cifrado del ransomware BlackCat, pero en septiembre de 2022, Royal empezó a utilizar un nuevo módulo de cifrado conocido como "Zeon". Zeon es un proceso altamente multihilo que consulta el número de núcleos de la CPU del objetivo y genera el doble de hilos para cifrar los archivos de las víctimas lo más rápidamente posible.

Las tácticas defensivas que impiden con eficacia un ataque exitoso del ransomware Royal son similares a las tácticas utilizadas para prevenir otros programas maliciosos, como:

• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
• Obtenga el software sólo de fuentes legítimas, como la tienda de aplicaciones integrada en el dispositivo móvil o el sitio web del proveedor del software.
• Implantar una estrategia de copia de seguridad fiable con copias de seguridad offline bien protegidas y poner en práctica procedimientos de recuperación en caso de catástrofe para garantizar el cumplimiento de los objetivos de tiempo medio de recuperación (MTTR).
• Realización periódica de análisis de vulnerabilidades y pruebas de penetración de toda la infraestructura de red y corrección de cualquier vulnerabilidad descubierta lo antes posible.
• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas excepto las macros firmadas digitalmente. 
• Exija contraseñas seguras y autenticación multifactor (MFA) para todos los servicios de acceso remoto y asegúrese de que se cambian todas las contraseñas predeterminadas. 
• Segmente las redes críticas y añada sistemas de detección y prevención de intrusiones en la red (IDPS ) para supervisar la actividad de la red en busca de comportamientos anómalos . 
• Instale y configure productos de seguridad para puntos finales que analicen los documentos cifrados inmediatamente después de descifrarlos. 
• Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.