Ciberseguridad
Ransomware
cibercrimen
Ciberataques

El nuevo grupo de 'ransomware' Royal elude la detección con un cifrado parcial

Las tácticas utilizadas por el grupo de ciberdelincuentes permiten un cifrado rápido y sigiloso y comparten similitudes con el desaparecido grupo Conti.

ransomware eset

Un nuevo grupo de ransomware apodado Royal que se formó a principios de este año ha aumentado significativamente sus operaciones en los últimos meses y ha desarrollado su propio programa de ransomware personalizado que permite a los atacantes realizar un cifrado de archivos flexible y rápido. "El grupo de ransomware Royal surgió a principios de 2022 y ha cobrado impulso desde mediados de año", afirman los investigadores de la empresa de seguridad Cybereason en un nuevo informe. "Su ransomware, que el grupo despliega a través de diferentes TTPs, ha afectado a múltiples organizaciones en todo el mundo. Se sospecha que el propio grupo está formado por antiguos miembros de otros grupos de ransomware, basándose en las similitudes que los investigadores han observado entre el ransomware Royal y otros operadores de ransomware".

 

Tácticas del grupo de ransomware Royal

Las tácticas de Royal guardan similitudes con las de Conti, lo que hace sospechar que está formado en parte por antiguos miembros del infame grupo que cerró en mayo de 2022. Cuando comenzó sus operaciones en enero, Royal se basaba en programas de ransomware de terceros como BlackCat y Zeon, pero en septiembre cambió a su propio programa de cifrado de archivos hecho a medida.

Desde entonces, el grupo ha cobrado decenas de víctimas de diversos sectores industriales, incluido el circuito de automovilismo de Silverstone, en Londres. Sin embargo, la mayoría de las víctimas proceden de Estados Unidos, y algunas de las primeras estadísticas sugieren que el grupo consiguió superar a LockBit como principal amenaza de ransomware en noviembre.

El grupo Royal utiliza el phishing como vector de ataque inicial, así como cargadores de terceros como BATLOADER y Qbot para su distribución. Al acceso inicial le sigue el despliegue de un implante Cobalt Strike para persistir y moverse lateralmente dentro del entorno en preparación para soltar la carga útil del ransomware.

 

El cifrado parcial puede eludir la detección

Los atacantes pueden ejecutar el programa ransomware con tres argumentos en la línea de comandos: uno que especifica la ruta que debe cifrarse, otro que especifica qué porcentaje del contenido de cada archivo se cifrará y otro que proporciona un ID único para identificar a la víctima.

Cuando se ejecuta, el programa inicia primero la utilidad de Windows vssadmin.exe para eliminar todas las copias del sistema de archivos, una rutina estándar que la mayoría de las aplicaciones de ransomware utilizan para impedir la recuperación de archivos desde el mecanismo de copia de seguridad de Windows. A continuación, excluye varios tipos de archivos y directorios de la rutina de cifrado. Esto incluye archivos ejecutables, toda la carpeta de Windows para que no interrumpa el funcionamiento del sistema operativo, y la carpeta del navegador Tor, necesaria para que la víctima acceda al portal del rescate del grupo en la red Tor.

A continuación, el programa lanza un escaneo de red para identificar ordenadores en la misma red y luego intenta conectarse a ellos utilizando el protocolo SMB para determinar si comparten alguna carpeta. Esto se hace para construir una lista de recursos compartidos de archivos de red externos para cifrar, además de los archivos locales en el equipo.

El proceso de cifrado es multihilo, y el número de hilos suele ser el doble de la cantidad de núcleos de CPU enumerados por el sistema. El cifrado de archivos se realiza a través de la librería OpenSSL con el cifrado AES256, y la clave de cifrado AES de cada archivo se cifra con una clave RSA pública que está codificada en el programa ransomware. Esto garantiza que sólo los atacantes puedan recuperar las claves AES utilizando la clave RSA privada que poseen.

Antes de cifrar los archivos, el programa utiliza el Administrador de reinicio de Windows para comprobar si los archivos en cuestión están siendo utilizados por otros servicios o aplicaciones y, en caso afirmativo, los elimina. A continuación, los bloquea para el cifrado.

El aspecto interesante de la rutina de cifrado es el cifrado parcial flexible de archivos de más de 5,245 MB basado en el porcentaje pasado como argumento en la línea de comandos. Aunque el cifrado parcial de archivos en sí no es una táctica nueva y otros programas de ransomware también lo utilizan para acelerar el proceso, la capacidad de personalizar qué parte de un archivo cifrar es nueva y puede tener implicaciones para los programas de seguridad que suelen supervisar los cambios realizados en los archivos para detectar posibles ataques de ransomware.

"La fragmentación y el posible bajo porcentaje de contenido de archivo cifrado resultante reducen las posibilidades de ser detectado por las soluciones anti ransomware", afirman los investigadores.

Este mecanismo de cifrado, así como otras tácticas utilizadas por Royal, presenta similitudes con Conti. Por ejemplo, el ransomware Conti también utilizaba 5,24 MB como umbral para el cifrado parcial y luego dividía el archivo en varias partes iguales, cifrando una y omitiendo otra. La diferencia es que Conti cifró el 50% de esas partes, lo que dio lugar a un patrón más uniforme que los productos de seguridad podían detectar.

"Esta similitud plantea la cuestión de si los autores del ransomware Royal tienen una conexión con el grupo Conti, pero por sí sola no es lo suficientemente fuerte como para sugerir una conexión directa o definitiva", afirman los investigadores de Cybereason.

Por último, a los archivos cifrados se les añadirá la extensión .royal y se escribirá una nota de rescate llamada README.TXT en todos los directorios que no estén en la lista de exclusión.



TE PUEDE INTERESAR...

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones