Resumen:
Esta semana, los analistas de seguridad de Cybereason, detallaron en un informe las tácticas de evasión de un nuevo ransomware que se dirige a las organizaciones.
Royal, es el nombre que recibe el ransomware que lleva activo desde principios del 2022.
Según los investigadores, es la nueva cepa del malware la que ha intensificado las operaciones del grupo significativamente, pues esta se dirige a múltiples organizaciones de distintos sectores y posee la capacidad de eludir las herramientas de seguridad mediante un cifrado rápido y sigiloso del sistema.
Además, las “novedosas” tácticas del grupo han levantado sospechas de un posible vínculo con los operadores del ransomware Conti. Esto debido a que en un inicio, Royal solía estar basado en programas ransomware de terceros, y no fue hasta hace unos meses que el grupo Conti cerró, que Royal comenzó a cifrar a sus víctimas con su propio programa.
Desde entonces, el grupo ha vulnerado a diversas organizaciones alrededor de todo el mundo, aunque la mayoría de sus víctimas suelen estar ubicadas en Estados Unidos.
Para penetrar en los sistemas, Royal utiliza técnicas de phishing y cargadores de terceros como BATLOADER y Qbot.
Una vez ha obtenido el acceso inicial, el ransomware despliega un implante Cobalt Strike que le permite lograr la persistencia y el movimiento lateral en la red, con el objetivo de preparar el sistema para lanzar la carga útil del malware.
A continuación, los atacantes despliegan el ransomware con tres argumentos de línea de comandos.
El primero especifica la ruta a cifrar, mientras que el segundo señala qué porcentaje de cada archivo se va a cifrar. El último solamente se encarga de proporcionar a los atacantes un ID único que identificará a cada víctima.
Cuando se ejecuta el ransomware, el programa inicia la utilidad “vssadmin.exe” de Windows para eliminar todas las copias de seguridad que estén contenidas en el sistema de archivos.
Posteriormente, Royal excluye algunos archivos y directorios de la rutina de cifrado para acelerar el proceso.
Más adelante, el malware lanza un escaneo en la red con el objetivo de identificar más ordenadores e intenta conectarse rápidamente a cada uno de ellos utilizando el protocolo SMB.
De acuerdo con los analistas de Cybereason, el proceso de cifrado es multihilo y se realiza a través de la biblioteca OpenSSL con el cifrado AES256. La clave de cifrado AES de cada archivo también se cifra con una clave RSA pública codificada en el ransomware. Esto garantiza a los operadores del malware que solo ellos tengan acceso a las claves.
Del mismo modo, antes de ejecutar el proceso de cifrado, el ransomware utiliza el Administrador de Reinicio de Windows para comprobar si los archivos a cifrar son utilizados por otros servicios o aplicaciones, y en caso de que esto sea positivo, procede a eliminarlos de inmediato.
Finalmente, por si esto fuera poco, el malware tiene una rutina de cifrado parcial flexible de archivos. Es decir que, los operadores del ransomware posen la capacidad de elegir que parte del archivo quieren cifrar para poder acelerar el proceso.
Para concluir, Royal abre un nuevo panorama de infección mucho más rápido para la ciberdelincuencia; por ello, es necesario que todas las organizaciones desplieguen una serie de medidas de seguridad con un enfoque multicapa de protección que pueda hacer frente a las amenazas de hoy en día.
Recomendaciones:
Medidas para prevenir un ataque ransomware
Hacer copias de seguridad
Mantener el software parcheado y actualizado
Evitar darle click a correos electrónicos desconocidos
Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro.
Referencias:
https://www.darkreading.com/attacks-breaches/royal-ransomware-novel-spin-encryption-tactics
SÍGUENOS