Si bien es de esperar la evolución de las técnicas de ransomware, la velocidad a la que Royal Ransomware Group♚ ha podido adaptarse es impresionante. Desde que se informó por primera vez, los responsables del ransomware Royal han avanzado rápidamente durante un corto período de tiempo, aprovechando técnicas antiguas y nuevas, así como explotando nuevas vulnerabilidades a medida que se descubren. Solo en los últimos seis meses, han escalado rápidamente los ataques dirigidos a víctimas en numerosas industrias y países, incluidos América Latina.
La actividad reciente del actor de amenazas que Microsoft rastrea como DEV-0569, conocido por distribuir varias cargas útiles, ha llevado al despliegue del ransomware Royal, que surgió por primera vez en septiembre de 2022 y está siendo distribuido por múltiples actores de amenazas. Los ataques DEV-0569 observados muestran un patrón de innovación continua, con la incorporación regular de nuevas técnicas de descubrimiento, evasión de defensa y varias cargas útiles posteriores al compromiso, junto con una mayor facilitación de ransomware.
Royal ransomware ha estado involucrado en ataques de alto perfil contra infraestructura crítica, especialmente atención médica, desde que se observó por primera vez en septiembre de 2022. En contra de la tendencia popular de contratar afiliados para promover su amenaza como servicio, Royal ransomware opera como un grupo privado formado por de ex-miembros de Conti.
El equipo de la Unit 42 ha observado que este grupo compromete a las víctimas a través de una infección BATLOADER, que los actores de amenazas generalmente propagan a través del envenenamiento de optimización de motores de búsqueda (SEO). Esta infección implica dejar caer un Cobalt Strike Beacon como precursor de la ejecución del ransomware.
Royal también amplió su arsenal al desarrollar una variante ELF para afectar los entornos Linux y ESXi. La variante ELF es bastante similar a la variante de Windows y la muestra no contiene ninguna ofuscación. Todas las cadenas, incluida la clave pública RSA y la nota de rescate, se almacenan como texto sin formato.
El Royal Ransomware Group también ha aprovechado las técnicas de evasión en instancias virtuales, lo que dificultó a los defensores evitar el cifrado una vez que el actor de la amenaza obtuvo acceso al entorno objetivo. Curiosamente, algunos de los atributos recordaban una muestra anterior de 2020 del ransomware Conti. Una investigación externa realizada por Vitali Kremez de AdvIntel ha establecido una relación directa entre Conti y Royal. La comparación de una muestra reciente de Royal con la de Conti y otras variantes de Royal durante los últimos seis meses podría proporcionar información sobre la actividad futura de los actores de amenazas.
¿Qué es Royal Ransomware?
Identificado inicialmente como Zeon en enero de 2022, ha sido renombrado como «Royal» desde septiembre de 2022. Desde entonces, se han dirigido a empresas de numerosas industrias, como la fabricación, la atención médica, la alimentación y la educación. Aunque más del 60% de las empresas seleccionadas han estado en los Estados Unidos, el grupo no ha rehuido de apuntar a países de todo el mundo, incluidos Europa y América Latina.
En los últimos seis meses, Royal se ha centrado en empresas pequeñas y grandes. En diciembre de 2022, parecía haber un giro claro para apuntar a empresas más grandes y una disminución constante en la orientación a organizaciones más pequeñas. También ha habido una disminución general en el número de ataques informados en el primer trimestre de 2023.
Con cada nueva variante de Royal ransomware desde septiembre, vienen diferentes técnicas y características, antiguas y nuevas, como:
- Phishing BazarCall
- Cifrado de archivos a través de SMB
- Utilización expansiva de LOLbin
- Abuso rápido de nuevas vulnerabilidades como CVE-2022-27510
- Aprovechar malware y herramientas populares como Qbot, Batloader, Cobalt Strike, etc.
La unidad de análisis de amenazas de VMware Carbon Black investigó recientemente un ataque de Royal ransomware que aprovechaba el cifrado de archivos en SMB. El actor de amenazas pudo obtener acceso al entorno de un cliente y cifrar archivos de forma remota en cinco dispositivos.
Relación con Conti
A diferencia de lo que ha visto anteriormente en Royal, el actor de amenazas no desactivó el antivirus/EDR y no eliminó las instantáneas de volumen. Es posible que se hayan omitido estas acciones para evitar alertar a los sensores o evitar que se bloqueen, pero es importante tener en cuenta que la muestra en sí tiene la capacidad de eliminar instantáneas de volumen.
El ataque investigado reveló características previamente identificadas en el ransomware Conti. Está diseñado para ser ejecutado por un adversario que monitorea el entorno. En 2020, usó una ejecución de línea de comando similar para apuntar a unidades locales, recursos compartidos de red e incluso direcciones IP específicas. Tras un análisis más profundo, se observaron numerosas similitudes entre esta muestra de Conti de 2020 y nuestra muestra de ransomware Royal de 2023.
Cadena de infección
Hay varias cadenas de infección diferentes que conducen al ransomware Royal. En algunos casos, hemos observado casos en los que el envenenamiento de SEO y la publicidad maliciosa se utilizaron como vectores de acceso inicial. El objetivo de estos dos métodos es engañar a la víctima para que descargue y ejecute un archivo malicioso que se hace pasar por software legítimo.
Esto inicia una cadena de infección compleja con múltiples etapas, incluidos los scripts de PowerShell y los archivos MSI. En ciertos casos, esto conduce a la infección con BATLOADER.
BATLOADER luego intentará descargar más cargas útiles a la máquina infectada, como VidarStealer, Ursnif/ISFB y Redline Stealer, así como herramientas legítimas como la herramienta de administración del sistema NSudo y la herramienta de administración y monitoreo remoto Syncro (RMM). Lo que es más importante, se ha visto a BATLOADER cargando Cobalt Strike, que a menudo es un precursor de la distribución de ransomware.
Los investigadores observaron a los operadores de Royal también usan PowerTool, una pieza de software que tiene acceso al kernel y es ideal para eliminar el software de seguridad de punto final. También ejecutaron secuencias de comandos por lotes para deshabilitar los servicios relacionados con la seguridad y eliminaron las instantáneas de archivos y los registros después de una exfiltración exitosa.
Fuente y redacción: segu-info.com.ar