La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha publicado un nuevo consejo que advierte contra la pandilla Royal Ransomware .
El informe, que se produjo en asociación con el FBI y es parte de la campaña #StopRansomware de la agencia, detalla las tácticas, métodos y procedimientos (TTP), así como las indicaciones de compromiso (IOC) relacionadas con las variantes de ransomware . .
Los ciberdelincuentes han utilizado una variación del ransomware Royal para atacar sistemas pertenecientes a empresas en los Estados Unidos y otros países desde aproximadamente septiembre de 2022. Muchos sectores de infraestructura clave han sido blanco de actores hostiles, incluidos, entre otros, la fabricación, las comunicaciones, la atención médica (HPH) y la educación.
Según el Consejo de seguridad cibernética (CSA) conjunto, desde septiembre de 2022 se identificó un comportamiento dañino reciente por parte de los actores de amenazas que utilizan una variante específica de malware. Esta información se obtuvo a través de la actividad de monitoreo desde principios de 2022.
Según el consejo, el FBI y CISA “piensan que esta variación se desarrolló a partir de iteraciones anteriores que emplearon a ‘Zeon’ como cargador”. “Esta variante emplea su propia herramienta de cifrado de archivos hecha a medida”, decía el aviso.
Después de obtener acceso a las redes por primera vez mediante phishing, protocolo de escritorio remoto (RDP y otros métodos), se detectó a los actores de la amenaza desactivando el software antivirus en las PC de las víctimas y extrayendo grandes volúmenes de datos. Eventualmente, comenzaron a usar el malware, que encriptó los sistemas.
Según lo que ha dicho CISA, “los actores reales han emitido demandas de rescate que van desde alrededor de $ 1 millón a $ 11 millones en Bitcoin”.
Mientras tanto, la Agencia dejó en claro que en las situaciones que investigó, los actores no proporcionaron instrucciones de rescate o pago como parte de su mensaje de rescate. En cambio, la letra que se muestra después del cifrado indica a las víctimas que deben comunicarse directamente con el actor malintencionado mediante el uso de una URL .onion (accesible a través del navegador Tor).
“Royal ransomware aprovecha una técnica única para el cifrado parcial que permite al actor de amenazas elegir una determinada parte de los datos contenidos dentro de un archivo para cifrar. Esta estrategia le da al actor la capacidad de reducir la proporción de datos que se cifran para archivos que son más grandes, lo que les facilita evitar que los descubran. Además de encriptar material, algunos actores se involucran en técnicas de doble extorsión en las que amenazan con exponer públicamente los datos encriptados en caso de que la víctima no pague el rescate.
CISA, al igual que las otras organizaciones que han emitido advertencias #StopRansomware, ha incluido un conjunto de sugerencias que tienen como objetivo limitar el riesgo de eventos de ransomware, así como su efecto.
Entre ellos se incluye garantizar que todos los sistemas se mantengan actualizados, exigir que todas las cuentas con inicio de sesión con contraseña se adhieran a las reglas establecidas por el Instituto Nacional de Estándares y Tecnología (NIST) y ejecutar la segmentación de la red siempre que sea factible.