\u00bfQu\u00e9 es el grupo Royal?<\/p>\n\n\n\n
Es un grupo de ransomware relativamente nuevo que se form\u00f3 a principios de este a\u00f1o. Este grupo ha aumentado significativamente sus operaciones en los \u00faltimos meses y ha desarrollado su propio programa de ransomware. Este ha afectado a m\u00faltiples organizaciones en todo el mundo.<\/p>\n\n\n\n
Se sospecha que el grupo Royal est\u00e1 formado por antiguos miembros de otros grupos de ransomware como CONTI.<\/p>\n\n\n\n
\u00bfQu\u00e9 tipo de malware es Royal?<\/p>\n\n\n\n
Es de tipo ransomware y tiene la cualidad de cifrar los archivos y a\u00f1ade la extensi\u00f3n “.royal<\/strong>” a los nombres de los archivos inutiliz\u00e1ndolos. Tambi\u00e9n crea un archivo de texto (llamado “README.TXT”) que contiene una nota de rescate. Los ciberdelincuentes que est\u00e1n detr\u00e1s de los ataques del ransomware Royal tienen como objetivo extorsionar a las v\u00edctimas y obtener ingresos al hacerlo.<\/p>\n\n\n\n\n\n \u00bfQu\u00e9 tipo de t\u00e1cticas utiliza el grupo Royal?<\/p>\n\n\n\n Las t\u00e1cticas del grupo Royal ransomware guardan similitudes con las de Conti y es por eso que se especula que el grupo est\u00e1 conformado con antiguos miembros de este \u00faltimo que cerr\u00f3 en mayo del 2022.<\/p>\n\n\n\n Cuando Royal comenz\u00f3 sus operaciones en enero, se bas\u00f3 en programas de ransomware de terceros como BlackCat<\/strong> y Zeon<\/strong>, pero en septiembre cambi\u00f3 a su propio<\/strong> programa de cifrado de archivos hecho a medida.<\/p>\n\n\n\n El grupo Royal utiliza el phishing<\/strong> como vector de ataque inicial, as\u00ed como loaders de terceros como BATLOADER<\/strong> y Qbot<\/strong> para su distribuci\u00f3n. Al acceso inicial le sigue el despliegue de un implante Cobalt Strike<\/strong> para persistir y moverse lateralmente dentro del entorno en preparaci\u00f3n para soltar el payload del ransomware.<\/p>\n\n\n\n Cabe destacar que el proceso de cifrado parcial puede eludir la detecci\u00f3n.<\/p>\n\n\n\n Los atacantes pueden ejecutar el programa ransomware con tres argumentos en la l\u00ednea de comandos:<\/p>\n\n\n\n Cuando se ejecuta, el programa inicia primero la utilidad de Windows vssadmin.exe<\/strong> para eliminar todas las instant\u00e1neas del sistema de archivos, una rutina est\u00e1ndar que la mayor\u00eda de las aplicaciones de ransomware utilizan para impedir la recuperaci\u00f3n de archivos desde el mecanismo de copia de seguridad de Windows. A continuaci\u00f3n, excluye varios tipos de archivos y directorios de la rutina de cifrado. Esto incluye archivos *.exe<\/strong>, toda la carpeta de Windows para que no interrumpa el funcionamiento del sistema operativo, y la carpeta del navegador Tor<\/strong>, necesaria para que la v\u00edctima acceda al portal del rescate del grupo en la red Tor.<\/p>\n\n\n\n A continuaci\u00f3n, el programa lanza un escaneo de red para identificar computadoras en la misma red, y luego intenta conectarse a ellos utilizando el protocolo SMB para determinar si comparten alguna carpeta. Esto se hace para crear una lista de archivos compartidos de red externos que cifrar, adem\u00e1s de los archivos locales del ordenador.<\/p>\n\n\n\n El proceso de cifrado es multihilo, y el n\u00famero de hilos suele ser el doble de la cantidad de n\u00facleos de CPU listados por el sistema. El cifrado de archivos se realiza a trav\u00e9s de la biblioteca OpenSSL con el cifrado AES256, y la clave de cifrado AES de cada archivo se cifra con una clave RSA p\u00fablica codificada en el programa ransomware. Esto garantiza que solo los atacantes puedan recuperar las claves AES utilizando la clave RSA privada que poseen<\/p>\n\n\n\n Antes de cifrar los archivos, el programa utiliza el Administrador de reinicio de Windows para comprobar si los archivos en cuesti\u00f3n est\u00e1n siendo utilizados por otros servicios o aplicaciones y, en caso afirmativo, los elimina. A continuaci\u00f3n, los bloquea para el cifrado.<\/p>\n\n\n\n El aspecto interesante de la rutina de cifrado es el cifrado parcial flexible de archivos de m\u00e1s de 5,245MB basado en el porcentaje pasado como argumento en la l\u00ednea de comandos. Aunque el cifrado parcial de archivos en s\u00ed no es una t\u00e1ctica nueva y otros programas de ransomware tambi\u00e9n lo utilizan para acelerar el proceso, la capacidad de personalizar qu\u00e9 parte de un archivo cifrar es nueva, y puede tener implicaciones para los programas de seguridad que suelen supervisar los cambios realizados en los archivos para detectar posibles ataques de ransomware.<\/p>\n\n\n\n “La fragmentaci\u00f3n y el posible bajo porcentaje de contenido de archivo cifrado resultante reducen las posibilidades de ser detectado por las soluciones antiransomware”, afirman los investigadores.<\/p>\n\n\n\n Este mecanismo de cifrado, as\u00ed como otras t\u00e1cticas utilizadas por Royal, presenta similitudes con Conti. Por ejemplo, el ransomware Conti tambi\u00e9n utilizaba 5,24MB como umbral para el cifrado parcial y luego divid\u00eda el archivo en varias partes iguales, cifrando una y omitiendo otra. La diferencia es que Conti cifraba el 50% de esas partes, lo que daba lugar a un patr\u00f3n m\u00e1s uniforme que los productos de seguridad pod\u00edan detectar.<\/p>\n\n\n\n “Esta similitud plantea la cuesti\u00f3n de si los autores del ransomware Royal tienen una conexi\u00f3n con el grupo Conti, pero por s\u00ed sola, no es lo suficientemente fuerte como para sugerir una conexi\u00f3n directa o definitiva”, dijeron los investigadores de Cybereason.<\/p>\n\n\n\n Algunos Indicadores de compromiso disponibles:<\/p>\n\n\n\n 103.249.87.72<\/p>\n\n\n\n 95.179.131.29<\/p>\n\n\n\n 103.139.2.93<\/p>\n\n\n\n 167.71.237.100<\/p>\n\n\n\n 185.244.150.84<\/p>\n\n\n\n 194.36.189.89<\/p>\n\n\n\n 95.179.242.6<\/p>\n\n\n\n 94.232.41.105<\/p>\n\n\n\n 89.108.65.136<\/p>\n\n\n\n 45.8.158.104<\/p>\n\n\n\n 197.94.67.207<\/p>\n\n\n\n 197.11.134.255<\/p>\n\n\n\n 45.227.251.167<\/p>\n\n\n\n 68.83.169.91<\/p>\n\n\n\n 41.107.77.67<\/p>\n\n\n\n 197.204.247.7<\/p>\n\n\n\n 197.158.89.85<\/p>\n\n\n\n 186.64.67.6<\/p>\n\n\n\n 41.251.121.35<\/p>\n\n\n\n 113.169.187.159<\/p>\n\n\n\n 41.109.11.80<\/p>\n\n\n\n 42.189.12.36<\/p>\n\n\n\n 134.35.9.209<\/p>\n\n\n\n 181.164.194.228<\/p>\n\n\n\n 82.12.196.197<\/p>\n\n\n\n 163.182.177.80<\/p>\n\n\n\n 41.97.65.51<\/p>\n\n\n\n 61.166.221.46<\/p>\n\n\n\n 105.158.118.241<\/p>\n\n\n\n 186.86.212.138<\/p>\n\n\n\n 181.141.3.126<\/p>\n\n\n\n 197.207.218.27<\/p>\n\n\n\n 139.195.43.166<\/p>\n\n\n\n 190.193.180.228<\/p>\n\n\n\n 41.100.55.97<\/p>\n\n\n\n 148.213.109.165<\/p>\n\n\n\n 102.157.44.105<\/p>\n\n\n\n 81.184.181.215<\/p>\n\n\n\n 105.69.155.85<\/p>\n\n\n\n 98.143.70.147<\/p>\n\n\n\n 196.70.77.11<\/p>\n\n\n\n 23.111.114.52<\/p>\n\n\n\n 2598e8adb87976abe48f0eba4bbb9a7cb69439e0c133b21aee3845dfccf3fb8f<\/p>\n\n\n\n 9db958bc5b4a21340ceeeb8c36873aa6bd02a460e688de56ccbba945384b1926<\/p>\n\n\n\n \u00bfQu\u00e9 hacer si llego a ser v\u00edctima de un incidente?<\/p>\n\n\n\n