ClickCease El FBI, el CISA y el HHS advierten de los ataques de la banda Royal ransomware

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El FBI, el CISA y el HHS advierten de los ataques de la banda Royal ransomware

por

14 de marzo de 2023 - Equipo de RRPP de TuxCare

El FBI y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) han emitido una advertencia sobre una nueva banda de ransomware conocida como Royal ransomware. El ransomware es un tipo de software malicioso que cifra los archivos informáticos de la víctima y exige un pago para desbloquearlos. El ransomware Royal funciona de manera similar.

La advertencia sigue a otra anterior del Departamento de Salud y Servicios Humanos, en la que se afirmaba que los ataques de ransomware dirigidos por humanos se están centrando en gran medida en el sector sanitario, tras un aumento de tres meses en el índice de ataques y peticiones de rescate de hasta 2 millones de dólares.

Para infectar el ordenador con ransomware, los atacantes envían correos electrónicos de spear-phishing o aprovechan vulnerabilidades del sistema de la víctima. Tras infectar el sistema, cifra los archivos, haciéndolos inaccesibles.

Los atacantes exigen entonces un pago a cambio de una clave de descifrado que les permita recuperar el acceso. Las demandas más recientes en Bitcoin han oscilado entre 1 y 11 millones de dólares. Sin embargo, las amenazas reales no incluyen los rescates en la nota inicial. En su lugar, se pide a las víctimas que interactúen con los actores a través de una URL .onion.

Royal ha exigido rescates en Bitcoin que oscilan entre 1 y 11 millones de dólares. Sin embargo, la advertencia afirmaba que el grupo no incluye cantidades de rescate ni instrucciones de pago en sus notas de rescate iniciales. En su lugar, la nota de rescate indica a las víctimas que se pongan en contacto directamente con un miembro de Royal a través de una URL segura accesible mediante el navegador Tor cifrado.

Según el FBI y CISA, Royal está reforzando sus operaciones y ampliando su alcance más allá de los proveedores de atención sanitaria, y se sospecha que los sectores de fabricación, educación y comunicaciones son objetivos adicionales. Desde septiembre del año pasado, los ciberdelincuentes han estado utilizando una variante del ransomware Royal para infiltrarse en organizaciones de todo Estados Unidos, muchas de las cuales son proveedores de atención sanitaria.

Las tácticas reales son similares a las de otros tipos de ransomware. Antes de desplegar el ransomware, los autores desactivan el software antivirus y extraen grandes cantidades de datos de la red. Los datos se roban "mediante la reutilización de herramientas legítimas de pen-testing cibernético como Cobalt Strike, así como herramientas de malware y derivados como Ursnif/Gozi".

Los miembros de Royal desactivan el software antivirus tras obtener acceso a la red de una organización. Según el FBI y el CISA, los ciberdelincuentes "extraen grandes cantidades de datos" antes de desplegar el ransomware y cifrar los sistemas de sus víctimas. La mayoría de los ataques utilizan correos electrónicos de phishing con documentos PDF maliciosos como principal método de acceso. El Protocolo de Escritorio Remoto (RDP) es el segundo vector de ataque más común, seguido de la explotación de aplicaciones públicas y el uso de intermediarios para obtener acceso inicial y tráfico de origen para recopilar credenciales de redes privadas virtuales (VPN).

Una vez obtenido el acceso, los miembros de Royal utilizan software legítimo de Windows reutilizado para reforzar su presencia en la red. Los investigadores también han observado que el grupo utiliza proyectos de código abierto, como Chisel, una herramienta de tunelización, para facilitar las actividades de intrusión.

 

Las fuentes de este artículo incluyen un artículo en SCMagazine.

Resumen
El FBI, el CISA y el HHS advierten de los ataques de la banda Royal ransomware
Nombre del artículo
El FBI, el CISA y el HHS advierten de los ataques de la banda Royal ransomware
Descripción
El FBI y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) han emitido una advertencia sobre el ransomware Royal.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín