Royal Ransomware la nueva amenaza en Ciberseguridad
Ex integrantes de Conti operan de nuevo de forma encubierta y a puerta cerrada conocido como Team One y han desarrollado Royal Ransomware que ha estado involucrado en ataques de alto perfil contra infraestructura crítica, especialmente atención médica, desde que se observó por primera vez en septiembre de 2022.
SEO
El equipo de Unit 42 de Palo Alto Networks, observó que este grupo compromete a las víctimas a través de una infección BATLOADER, que los actores de amenazas generalmente propagan a través del envenenamiento de optimización de motores de búsqueda (SEO, Search Engine Optimization).
LInux
Royal Ransomware también amplió su arsenal al desarrollar una variante ELF para afectar los entornos Linux y ESXi. Esta variante es bastante similar a la de Windows y la muestra no contiene ninguna ofuscación.
El grupo Royal Ransomware se observó por primera vez en septiembre de 2022, comprometiendo a las víctimas y utilizando la extorsión múltiple para presionar a pagar su tarifa.
Antes de su primera aparición, esta organización se había vinculado a una familia de ransomware anterior llamada Zeon, a partir de enero del mismo año. Desde 2022, se ha observado que este grupo impactó entidades gubernamentales locales en Estados Unidos y Europa.
RaaS
A diferencia de los principales grupos de ransomware como LockBit 3.0, que normalmente funcionan como un ransomware como servicio (RaaS) mediante la contratación de afiliados y la promoción de su modelo RaaS, no se ha observado que este grupo en particular use un enfoque similar.
A continuación, se presentan algunos datos adicionales sobre el grupo de los hallazgos de Unit 42:
Desde 2022, Royal ransomware ha asumido la responsabilidad de afectar a 157 organizaciones en su sitio de fuga.
Han impactado a 14 organizaciones del sector educativo, incluyendo distritos escolares y universidades. En los primeros días de mayo de 2023, el grupo ya impactó a cuatro instituciones educativas.
Royal Ransomware hostiga a los afectados hasta que se asegura el pago, utilizando técnicas como envío de correos electrónicos e impresiones de notas de rescate en masa.
El grupo tiene, además, una cuenta de twitter que se creó en octubre de 2022, llamada “LockerRoyal”; la mayor parte del contenido de la cuenta son anuncios de víctimas comprometidas, etiquetando la cuenta de Twitter de la víctima.
2023
Royal ransomware ha estado más activo este año, utilizando una amplia variedad de herramientas y apuntando más agresivamente a organizaciones de infraestructura crítica.
Las organizaciones deben implementar las mejores prácticas de seguridad y tener cuidado con la amenaza constante del ransomware. Esto es cierto no solo para Royal Ransomware, sino también para otros grupos criminales oportunistas.
La mayoría de las organizaciones afectadas por este ransomware se encuentran en los Estados Unidos y comprenden el 64 % de las organizaciones afectadas. Canadá es el segundo país más afectado por esta familia de ransomware, lo que hace que el total de América del Norte sea del 73,2 %.
Los siguientes países más afectados incluyen Alemania, el Reino Unido, Brasil, Italia, México y otros (155 en total)
