¿Qué es el ransomware Royal?

Los analistas creen que el ransomware Royal surgió por primera vez en enero de 2022 y que estuvo bastante activo en la última parte de ese año. A finales de 2022, Royal fue uno de los grupos de ransomware más prolíficos, junto con LockBit y BlackCat. Se cree que la banda del ransomware Royal es un grupo de habla rusa que utiliza técnicas avanzadas de infiltración y exfiltración. Los analistas de Trend Micro y otras empresas de seguridad creen que Royal es una versión renovada del ransomware Zeon. Royal también comparte muchas similitudes con otras formas de ransomware. Por ejemplo, Royal utilizó inicialmente el cifrador del ransomware BlackCat y posteriormente dejaba notas de rescate similares al ransomware Conti. Por ello, los investigadores sospechan que el grupo está formado principalmente por antiguos miembros del grupo de ransomware Conti, que anteriormente tenía conexiones con el ransomware Ryuk. Esto sugiere que los operadores tienen muchos años de experiencia en la ejecución de ciberataques sofisticados. Desde finales de 2023, las autoridades sospechan que la banda Royal podría estar renovándose como el ransomware BlackSuit, ya que ambos grupos utilizan código y metodologías similares. El grupo de ransomware Royal ha atacado muchos sectores de infraestructuras críticas, incluidos el químico, las comunicaciones, la fabricación, los embalses, el sector de la defensa, los servicios financieros, la atención sanitaria, los residuos, la energía nuclear y los servicios de emergencia. Desde noviembre de 2023, Royal ha atacado a más de 350 víctimas reconocidas en todo el mundo, cobrando pagos de rescate por un total de más de 275 millones de dólares.

Los atacantes detrás de los ciberataques de Royal suelen utilizar correos electrónicos de phishing y spear-phishing, así como estafas de phishing de devolución de llamada para difundir el ransomware. Una estafa de phishing de devolución de llamada engaña a los usuarios para que instalen un malware de acceso remoto que permite a la banda de ransomware infiltrarse fácilmente en el equipo del usuario. Los vectores de ataque adicionales y las tácticas de acceso inicial son los siguientes:

• Incrustación del código Royal en amenazas de malware como Batloader e IcedID

• Uso de troyanos (software legítimo que se ha convertido en un arma con malware y que está disponible para su descarga en sitios de aspecto auténtico)

• Uso indebido de aplicaciones de protocolo de escritorio remoto (RDP)

• Explotación de vulnerabilidades en activos orientados a la web

• Uso indebido de los formularios de contacto de sitios web empresariales para propagar enlaces maliciosos

• Malvertising mediante anuncios de Google

Una vez que el ransomware Royal ha infectado el entorno de TI de la víctima, los operadores de ransomware utilizan varias tácticas, técnicas y procedimientos (TTP) para maximizar el impacto del ataque.

• Evadir las defensas. Para evadir las defensas, Royal utiliza herramientas como PCHunter y Process Hacker para desinstalar manualmente productos antivirus en los equipos de la víctima.

• Realizar un reconocimiento. Mediante herramientas como NetScan, PsExec y AdFind, el ransomware Royal recopila datos sobre Active Directory y los sistemas conectados de la víctima. Los operadores de Royal también pueden descargar cargas útiles adicionales la segunda fase.

• Escalar privilegios. Los atacantes utilizan el movimiento lateral  para recopilar credenciales de hosts infectados y poner en peligro las cuentas de servicios en la nube.

• Exfiltrar datos. Tras identificar objetivos de gran valor durante el reconocimiento, Royal exfiltra los datos confidenciales mediante herramientas de pruebas de penetración legítimas, como Cobalt Strike.

• Evitar la recuperación. Royal elimina las instantáneas de volumen antes de cifrar los archivos, lo que evita que las víctimas utilicen la restauración del sistema Windows para recuperar los datos.

• Cifrar los archivos. Royal cifra los archivos utilizando un ejecutable de 64 bits escrito en C++ para cifrar archivos en sistemas Microsoft Windows. Para evadir las defensas antiransomware, Royal utiliza el cifrado parcial para cifrar una parte predeterminada del contenido del archivo. Royal también utiliza varios subprocesos para acelerar el proceso de cifrado. Los archivos cifrados se marcan con la extensión de archivo ".royal".

• Exigir un rescate. Los atacantes de Royal no suelen incluir las cantidades de rescate en la nota inicial. En su lugar, un archivo README.txt en cada directorio afectado dirige a las víctimas hasta un portal basado en Tor para comunicarse con el grupo de ransomware.

Para prevenir y detectar los ataques de ransomware de Royal, los equipos de TI y seguridad deben adoptar varias capas de mitigación y defensas.

• Microsegmentación: una segmentación definida de las redes y los activos individuales impide a los atacantes moverse lateralmente por la red, lo que limita el daño potencial de un ataque de ransomware Royal.

• Supervisión continua: los equipos de TI deben supervisar los indicadores más actualizados de riesgo y configurar alertas de activación de Cobalt Strike y herramientas similares, así como de desactivación de cualquier software antivirus.

• Arquitectura Zero Trust: la adopción de un enfoque de seguridad Zero Trust mitiga el ransomware, ya que requiere que todos los usuarios y los dispositivos se autentiquen en cada solicitud y limita estrictamente los privilegios de acceso.

• Defensas de ciberseguridad: para lograr una estrategia de ciberseguridad sólida, los equipos de TI pueden implementar firewalls, software antivirus, tecnología antimalware, filtrado de correo electrónico, listas de permitidos de aplicaciones y otras defensas basadas en inteligencia contra amenazas actualizada al minuto.

• Auditorías de seguridad: la auditoría y la evaluación periódicas de los controles de seguridad ayudan a identificar y corregir vulnerabilidades en la red.

• Formación en seguridad: la formación de los empleados sobre las prácticas recomendadas de higiene de ciberseguridad puede ayudarles a detectar y evitar correos electrónicos de phishing y otras amenazas.

• Copias de seguridad: realizar copias de seguridad periódicas de los datos y mantener una copia en un almacenamiento offline permite a los equipos de TI restaurar rápidamente los datos en caso de ataque.

• Gestión de acceso e identidades (IAM): la autenticación multifactorial y el uso de contraseñas seguras impiden el acceso no autorizado de los operadores de ransomware.

• Seguridad de terminales: las soluciones de detección y respuesta de terminales (EDR) supervisan y restringen las rutas ejecutables para minimizar el riesgo de ransomware en dispositivos individuales, como teléfonos móviles, portátiles y PC.

• Actualizaciones y parches: con el fin de corregir las vulnerabilidades en el software y los sistemas operativos que los atacantes pueden explotar, los equipos de TI deben adoptar una cadencia óptima para instalar actualizaciones y aplicar parches.

Al igual que con muchas otras formas de ransomware, la erradicación requiere que los equipos de TI realicen varios pasos clave como parte de un plan de respuesta ante incidentes bien diseñado.

• Aislar los sistemas infectados: todo equipo o unidad infectada debe desconectarse inmediatamente de Internet, la red y cualquier otro sistema para evitar infecciones adicionales.

• Ponerse en contacto con profesionales: las empresas de seguridad especializadas en la eliminación del ransomware pueden ofrecer asistencia de expertos tras un ataque de ransomware.

• Identificar la infección: al identificar el tipo de ransomware, los equipos de TI pueden determinar la mejor manera de erradicar el código y buscar las posibles herramientas de descifrado.

• Eliminar el ransomware: mediante el uso de herramientas especiales, los equipos de TI pueden limpiar las unidades afectadas, eliminar los kits de explotación y corregir cualquier vulnerabilidad que los atacantes hayan podido utilizar para reinstalar el ransomware.

• Recuperar datos: posteriormente, los equipos de TI pueden restaurar los archivos a partir de una copia de seguridad limpia.

• Ponerse en contacto con las autoridades: el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) instan a todas las víctimas a informar sobre incidentes de ransomware a las oficinas locales, independientemente de si se ha pagado o no un rescate.