La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos ( CISA ) ha publicado un nuevo consejo que advierte a los defensores del sistema contra la pandilla Royal Ransomware .
El informe, que se produjo el jueves en asociación con el FBI y es parte de la campaña #StopRansomware de la agencia, detalla las tácticas, métodos y procedimientos (TTP), así como las indicaciones de compromiso (IOC) relacionadas con varias variantes de ransomware . .
Los ciberdelincuentes han utilizado una variación del ransomware Royal para atacar sistemas pertenecientes a empresas en los Estados Unidos y otros países desde aproximadamente septiembre de 2022. El FBI y CISA creen que las variantes anteriores del malware, que utilizaban “Zeon” como cargador , fueron los progenitores de la variedad actual, que emplea su propia herramienta de cifrado de archivos hecha a medida. Cuando los actores detrás de Royal obtienen acceso a las redes de sus víctimas, lo primero que hacen es desactivar el software antivirus de las víctimas y robar una cantidad significativa de datos antes de finalmente propagar ransomware y cifrar las computadoras. Los actores reales han hecho varias demandas de rescate, que van desde alrededor de un millón a once millones de dólares estadounidenses en Bitcoin. En los hechos que se han presenciado, los actores reales no han incluido sumas de rescate ni instrucciones para realizar pagos como parte del mensaje de rescate original. En cambio, la letra que se muestra después del cifrado indica a las víctimas que deben comunicarse directamente con el actor malintencionado mediante el uso de una URL .onion (accesible a través del navegador Tor). Muchos sectores de infraestructura clave han sido blanco de actores hostiles, incluidos, entre otros, la fabricación, las comunicaciones, la atención médica y la atención médica pública (HPH) y la educación.
Según el Consejo de seguridad cibernética (CSA) conjunto, desde septiembre de 2022 se identificó un comportamiento dañino reciente por parte de los actores de amenazas que utilizan una variante específica de malware. Esta información se obtuvo a través de la actividad de monitoreo desde principios de 2022.
Según el consejo, el FBI y CISA “piensan que esta variación se desarrolló a partir de iteraciones anteriores que emplearon a ‘Zeon’ como cargador”. “Esta variante emplea su propia herramienta de cifrado de archivos hecha a medida”, decía el aviso.
Después de obtener acceso a las redes por primera vez mediante phishing, protocolo de escritorio remoto (RDP y otros métodos), se detectó a los actores de la amenaza desactivando el software antivirus en las PC de las víctimas y extrayendo grandes volúmenes de datos. Eventualmente, comenzaron a usar el malware, que encriptó los sistemas.
Según lo que ha dicho CISA, “los actores reales han emitido demandas de rescate que van desde alrededor de $ 1 millón a $ 11 millones en Bitcoin”.
Mientras tanto, la Agencia dejó en claro que en las situaciones que investigó, los actores no proporcionaron instrucciones de rescate o pago como parte de su mensaje de rescate.
“Royal ransomware aprovecha una técnica única para el cifrado parcial que permite al actor de amenazas elegir una determinada parte de los datos contenidos dentro de un archivo para cifrar. Esta estrategia le da al actor la capacidad de reducir la proporción de datos que se cifran para archivos que son más grandes, lo que les facilita evitar que los descubran. Además de encriptar material, algunos actores se involucran en técnicas de doble extorsión en las que amenazan con exponer públicamente los datos encriptados en caso de que la víctima no pague el rescate.
En el momento en que se escribió el artículo, CISA dijo que los actores afiliados a la Familia Real se habían dirigido a una serie de importantes sectores de infraestructura, incluidas las industrias de fabricación, comunicaciones, educación y atención médica.
CISA, al igual que las otras organizaciones que han emitido advertencias #StopRansomware, ha incluido un conjunto de sugerencias que tienen como objetivo limitar el riesgo de eventos de ransomware, así como su efecto.
Entre ellos se incluye garantizar que todos los sistemas se mantengan actualizados, exigir que todas las cuentas con inicio de sesión con contraseña se adhieran a las reglas establecidas por el Instituto Nacional de Estándares y Tecnología (NIST) y ejecutar la segmentación de la red siempre que sea factible.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad