CISA y el FBI han emitido un aviso conjunto que destaca la creciente amenaza detrás de los ataques de Royal ransomware en curso dirigidos a muchos sectores de infraestructura crítica de EE. UU., incluidos el cuidado de la salud, las comunicaciones y la educación.
Esto sigue a un aviso emitido por el Departamento de Salud y Servicios Humanos (HHS), cuyo equipo de seguridad reveló en diciembre de 2022 que la operación de ransomware se había relacionado con múltiples ataques contra organizaciones de atención médica de EE. UU.
En respuesta, el FBI y CISA compartieron indicadores de compromiso y una lista de tácticas, técnicas y procedimientos (TTP) vinculados, lo que ayudaría a los defensores a detectar y bloquear los intentos de implementar cargas útiles de Royal ransomware en sus redes.
«CISA alienta a los defensores de la red a revisar el CSA y aplicar las mitigaciones incluidas», dijo el jueves la agencia de ciberseguridad de EE. UU.
Las agencias federales están pidiendo a todas las organizaciones en riesgo de ser atacadas que tomen medidas concretas para protegerse contra la creciente amenaza de ransomware.
Para salvaguardar las redes de sus organizaciones, los administradores empresariales pueden comenzar priorizando la reparación de cualquier vulnerabilidad conocida que los atacantes ya hayan explotado.
También es crucial capacitar a los empleados para que detecten e informen los intentos de phishing de manera efectiva. Las defensas de ciberseguridad se pueden fortalecer aún más al habilitar y hacer cumplir la autenticación multifactor (MFA), lo que dificulta mucho que los atacantes accedan a sistemas y datos confidenciales.
Las muestras enviadas a la plataforma ID-Ransomware para su análisis muestran que la pandilla dirigida a empresas ha estado cada vez más activa desde fines de enero, lo que demuestra el enorme impacto de esta operación de ransomware en sus víctimas.
Solicitud de informes de incidentes de Royal
Aunque el FBI dice que pagar rescates probablemente alentará a otros ciberdelincuentes a unirse a los ataques, se insta a las víctimas a informar los incidentes de Royal ransomware a su oficina de campo local del FBI o a CISA, independientemente de si han pagado un rescate o no.
Cualquier información adicional ayudará a recopilar datos críticos necesarios para realizar un seguimiento de la actividad del grupo de ransomware, ayudar a detener más ataques o responsabilizar a los atacantes por sus acciones.
Royal Ransomware es una operación privada compuesta por actores de amenazas altamente experimentados conocidos por trabajar previamente con la notoria pandilla de ciberdelincuencia Conti. Sus actividades maliciosas solo han visto un aumento en la actividad desde septiembre , a pesar de que se detectaron por primera vez en enero de 2022.
Aunque inicialmente implementaron encriptadores de otras operaciones como BlackCat, desde entonces han pasado a usar los suyos propios.
El primero fue Zeon, que generó notas de rescate similares a las utilizadas por Conti, pero cambiaron a un nuevo cifrador a mediados de septiembre después de cambiar el nombre a «Royal».
El malware se actualizó recientemente para cifrar dispositivos Linux , específicamente dirigido a máquinas virtuales VMware ESXi.
Los operadores reales encriptan los sistemas empresariales de sus objetivos y exigen fuertes pagos de rescate que van desde $ 250,000 hasta decenas de millones por ataque.
Esta operación de ransomware también se destaca entre la multitud debido a sus tácticas de ingeniería social para engañar a las víctimas corporativas para que instalen software de acceso remoto como parte de los ataques de phishing de devolución de llamada , donde fingen ser proveedores de software y servicios de entrega de alimentos.
Además, el grupo emplea una estrategia única de utilizar cuentas de Twitter pirateadas para twittear detalles de objetivos comprometidos a los periodistas, con la esperanza de atraer cobertura de noticias y agregar más presión sobre sus víctimas.
Estos tuits contienen un enlace a datos filtrados, que supuestamente el grupo robó de las redes de las víctimas antes de cifrarlos.
Fuente y redacción: bleepingcomputer.com
