¿Qué es el grupo Royal?
Es un grupo de ransomware relativamente nuevo que se formó a principios de este año. Este grupo ha aumentado significativamente sus operaciones en los últimos meses y ha desarrollado su propio programa de ransomware. Este ha afectado a múltiples organizaciones en todo el mundo.
Se sospecha que el grupo Royal está formado por antiguos miembros de otros grupos de ransomware como CONTI.
¿Qué tipo de malware es Royal?
Es de tipo ransomware y tiene la cualidad de cifrar los archivos y añade la extensión “.royal” a los nombres de los archivos inutilizándolos. También crea un archivo de texto (llamado “README.TXT”) que contiene una nota de rescate. Los ciberdelincuentes que están detrás de los ataques del ransomware Royal tienen como objetivo extorsionar a las víctimas y obtener ingresos al hacerlo.
¿Qué tipo de tácticas utiliza el grupo Royal?
Las tácticas del grupo Royal ransomware guardan similitudes con las de Conti y es por eso que se especula que el grupo está conformado con antiguos miembros de este último que cerró en mayo del 2022.
Cuando Royal comenzó sus operaciones en enero, se basó en programas de ransomware de terceros como BlackCat y Zeon, pero en septiembre cambió a su propio programa de cifrado de archivos hecho a medida.
El grupo Royal utiliza el phishing como vector de ataque inicial, así como loaders de terceros como BATLOADER y Qbot para su distribución. Al acceso inicial le sigue el despliegue de un implante Cobalt Strike para persistir y moverse lateralmente dentro del entorno en preparación para soltar el payload del ransomware.
Cabe destacar que el proceso de cifrado parcial puede eludir la detección.
Los atacantes pueden ejecutar el programa ransomware con tres argumentos en la línea de comandos:
- uno que especifica la ruta que debe cifrarse
- otro que especifica qué porcentaje del contenido de cada archivo se cifrará
- otro que proporciona un ID único para identificar a la víctima.
Cuando se ejecuta, el programa inicia primero la utilidad de Windows vssadmin.exe para eliminar todas las instantáneas del sistema de archivos, una rutina estándar que la mayoría de las aplicaciones de ransomware utilizan para impedir la recuperación de archivos desde el mecanismo de copia de seguridad de Windows. A continuación, excluye varios tipos de archivos y directorios de la rutina de cifrado. Esto incluye archivos *.exe, toda la carpeta de Windows para que no interrumpa el funcionamiento del sistema operativo, y la carpeta del navegador Tor, necesaria para que la víctima acceda al portal del rescate del grupo en la red Tor.
A continuación, el programa lanza un escaneo de red para identificar computadoras en la misma red, y luego intenta conectarse a ellos utilizando el protocolo SMB para determinar si comparten alguna carpeta. Esto se hace para crear una lista de archivos compartidos de red externos que cifrar, además de los archivos locales del ordenador.
El proceso de cifrado es multihilo, y el número de hilos suele ser el doble de la cantidad de núcleos de CPU listados por el sistema. El cifrado de archivos se realiza a través de la biblioteca OpenSSL con el cifrado AES256, y la clave de cifrado AES de cada archivo se cifra con una clave RSA pública codificada en el programa ransomware. Esto garantiza que solo los atacantes puedan recuperar las claves AES utilizando la clave RSA privada que poseen
Antes de cifrar los archivos, el programa utiliza el Administrador de reinicio de Windows para comprobar si los archivos en cuestión están siendo utilizados por otros servicios o aplicaciones y, en caso afirmativo, los elimina. A continuación, los bloquea para el cifrado.
El aspecto interesante de la rutina de cifrado es el cifrado parcial flexible de archivos de más de 5,245MB basado en el porcentaje pasado como argumento en la línea de comandos. Aunque el cifrado parcial de archivos en sí no es una táctica nueva y otros programas de ransomware también lo utilizan para acelerar el proceso, la capacidad de personalizar qué parte de un archivo cifrar es nueva, y puede tener implicaciones para los programas de seguridad que suelen supervisar los cambios realizados en los archivos para detectar posibles ataques de ransomware.
“La fragmentación y el posible bajo porcentaje de contenido de archivo cifrado resultante reducen las posibilidades de ser detectado por las soluciones antiransomware”, afirman los investigadores.
Este mecanismo de cifrado, así como otras tácticas utilizadas por Royal, presenta similitudes con Conti. Por ejemplo, el ransomware Conti también utilizaba 5,24MB como umbral para el cifrado parcial y luego dividía el archivo en varias partes iguales, cifrando una y omitiendo otra. La diferencia es que Conti cifraba el 50% de esas partes, lo que daba lugar a un patrón más uniforme que los productos de seguridad podían detectar.
“Esta similitud plantea la cuestión de si los autores del ransomware Royal tienen una conexión con el grupo Conti, pero por sí sola, no es lo suficientemente fuerte como para sugerir una conexión directa o definitiva”, dijeron los investigadores de Cybereason.
Algunos Indicadores de compromiso disponibles:
103.249.87.72
95.179.131.29
103.139.2.93
167.71.237.100
185.244.150.84
194.36.189.89
95.179.242.6
94.232.41.105
89.108.65.136
45.8.158.104
197.94.67.207
197.11.134.255
45.227.251.167
68.83.169.91
41.107.77.67
197.204.247.7
197.158.89.85
186.64.67.6
41.251.121.35
113.169.187.159
41.109.11.80
42.189.12.36
134.35.9.209
181.164.194.228
82.12.196.197
163.182.177.80
41.97.65.51
61.166.221.46
105.158.118.241
186.86.212.138
181.141.3.126
197.207.218.27
139.195.43.166
190.193.180.228
41.100.55.97
148.213.109.165
102.157.44.105
81.184.181.215
105.69.155.85
98.143.70.147
196.70.77.11
23.111.114.52
2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f
9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926
¿Qué hacer si llego a ser víctima de un incidente?
Debe reportarlo a CSIRT Panamá a la dirección info@cert.pa o contactar vía telefónica al 520-2378.