Si bien es de esperar la evolución de las técnicas de ransomware, la velocidad
a la que Royal Ransomware Group♚ ha podido adaptarse es impresionante. Desde
que se informó por primera vez, los responsables del ransomware Royal han
avanzado rápidamente durante un corto período de tiempo, aprovechando técnicas
antiguas y nuevas, así como explotando nuevas vulnerabilidades a medida que se
descubren. Solo en los últimos seis meses, han escalado rápidamente los
ataques dirigidos a víctimas en numerosas industrias y países, incluidos
América Latina.
La actividad reciente del actor de amenazas que
Microsoft rastrea como DEV-0569, conocido por distribuir varias cargas útiles, ha llevado al despliegue del
ransomware Royal, que surgió por primera vez en septiembre de 2022 y está
siendo distribuido por múltiples actores de amenazas. Los ataques DEV-0569
observados muestran un patrón de innovación continua, con la incorporación
regular de nuevas técnicas de descubrimiento, evasión de defensa y varias
cargas útiles posteriores al compromiso, junto con una mayor facilitación de
ransomware.
Royal ransomware ha estado involucrado en ataques de alto perfil contra
infraestructura crítica, especialmente atención médica, desde que se observó
por primera vez en septiembre de 2022. En contra de la tendencia popular de
contratar afiliados para promover su amenaza como servicio, Royal ransomware
opera como un grupo privado formado por de ex-miembros de Conti.
El equipo de la
Unit 42 ha observado
que este grupo compromete a las víctimas a través de una infección BATLOADER,
que los actores de amenazas generalmente propagan a través del envenenamiento
de optimización de motores de búsqueda (SEO). Esta infección implica dejar
caer un Cobalt Strike Beacon como precursor de la ejecución del ransomware.
Royal también amplió su arsenal al desarrollar una variante ELF para afectar
los entornos Linux y ESXi. La variante ELF es bastante similar a la variante
de Windows y la muestra no contiene ninguna ofuscación. Todas las cadenas,
incluida la clave pública RSA y la nota de rescate, se almacenan como texto
sin formato.
El Royal Ransomware Group también ha aprovechado las
técnicas de evasión en instancias virtuales, lo que dificultó a los defensores evitar el cifrado una vez que el actor de
la amenaza obtuvo acceso al entorno objetivo. Curiosamente, algunos de los
atributos recordaban una muestra anterior de 2020 del ransomware Conti. Una
investigación externa realizada por Vitali Kremez de AdvIntel ha establecido
una
relación directa entre Conti y Royal. La comparación de una muestra reciente de Royal con la de Conti y otras
variantes de Royal durante los últimos seis meses podría proporcionar
información sobre la actividad futura de los actores de amenazas.
¿Qué es Royal Ransomware?
Identificado inicialmente como Zeon en enero de 2022,
ha sido renombrado como «Royal» desde septiembre de 2022. Desde entonces, se han dirigido a empresas de numerosas industrias, como la
fabricación, la atención médica, la alimentación y la educación. Aunque más
del 60% de las empresas seleccionadas han estado en los Estados Unidos, el
grupo no ha rehuido de apuntar a países de todo el mundo, incluidos Europa y
América Latina.
En los últimos seis meses, Royal se ha centrado en empresas pequeñas y
grandes. En diciembre de 2022, parecía haber un giro claro para apuntar a
empresas más grandes y una disminución constante en la orientación a
organizaciones más pequeñas. También ha habido una disminución general en el
número de ataques informados en el primer trimestre de 2023.
Con cada nueva variante de Royal ransomware desde septiembre, vienen
diferentes técnicas y características, antiguas y nuevas, como:
- Phishing BazarCall
- Cifrado de archivos a través de SMB
- Utilización expansiva de LOLbin
-
Abuso rápido de nuevas
vulnerabilidades como CVE-2022-27510 -
Aprovechar malware y herramientas populares como Qbot, Batloader, Cobalt
Strike, etc.
La unidad de análisis de amenazas de VMware Carbon Black investigó
recientemente un ataque de Royal ransomware que aprovechaba el cifrado de
archivos en SMB. El actor de amenazas pudo obtener acceso al entorno de un
cliente y cifrar archivos de forma remota en cinco dispositivos.
Relación con Conti
A diferencia de
lo que ha visto anteriormente en Royal, el actor de amenazas no desactivó el antivirus/EDR y no eliminó las
instantáneas de volumen. Es posible que se hayan omitido estas acciones para
evitar alertar a los sensores o evitar que se bloqueen, pero es importante
tener en cuenta que la muestra en sí tiene la capacidad de eliminar
instantáneas de volumen.
El ataque investigado
reveló características previamente identificadas en el ransomware Conti. Está diseñado para ser ejecutado por un adversario que monitorea el
entorno. En 2020, usó una ejecución de línea de comando similar para apuntar a
unidades locales, recursos compartidos de red e incluso direcciones IP
específicas. Tras un análisis más profundo, se observaron numerosas
similitudes entre esta muestra de Conti de 2020 y nuestra muestra de
ransomware Royal de 2023.
Cadena de infección
Hay varias cadenas de infección diferentes que conducen al ransomware Royal.
En algunos casos, hemos observado casos en los que el envenenamiento de SEO y
la publicidad maliciosa se utilizaron como vectores de acceso inicial. El
objetivo de estos dos métodos es engañar a la víctima para que descargue y
ejecute un archivo malicioso que se hace pasar por software legítimo.
Esto inicia una cadena de infección compleja con múltiples etapas, incluidos
los scripts de PowerShell y los archivos MSI. En ciertos casos, esto conduce a
la infección con BATLOADER.
BATLOADER luego intentará descargar más cargas útiles a la máquina infectada,
como VidarStealer, Ursnif/ISFB y Redline Stealer, así como herramientas
legítimas como la herramienta de administración del sistema NSudo y la
herramienta de administración y monitoreo remoto Syncro (RMM). Lo que es más
importante, se ha visto a BATLOADER cargando Cobalt Strike, que a menudo es un
precursor de la distribución de ransomware.
Los investigadores observaron a los operadores de Royal también usan
PowerTool, una pieza de software que tiene acceso al kernel y es ideal para
eliminar el software de seguridad de punto final. También ejecutaron
secuencias de comandos por lotes para deshabilitar los servicios relacionados
con la seguridad y eliminaron las instantáneas de archivos y los registros
después de una exfiltración exitosa.
Los comentarios están cerrados.