El gobierno de EE. UU. está haciendo sonar la alarma sobre la operación de ransomware Royal, que, según dice, se ha dirigido a numerosos sectores de infraestructura crítica en todo Estados Unidos.
En un aviso conjunto publicado el jueves, el FBI y la agencia de ciberseguridad de EE. UU. CISA dijeron que el ransomware Royal se ha cobrado múltiples víctimas en EE. UU. e internacionalmente, incluidas organizaciones de fabricación, comunicaciones, educación y atención médica.
La advertencia se produce después de que el Departamento de Salud y Servicios Humanos de los EE. UU. advirtiera en diciembre que el ransomware Royal estaba apuntando «agresivamente» al sector de la salud de los EE. UU. El sitio de filtraciones de la web oscura de Royal actualmente incluye a Northwest Michigan Health Services y Midwest Orthopaedic Consultants entre sus víctimas.
La pandilla Royal ransomware se observó por primera vez a principios de 2022. En ese momento, la operación se basó en ransomware de terceros, como Zeon, pero desde entonces ha implementado su propio ransomware personalizado en ataques desde septiembre.
El gobierno de los EE. UU. advierte que después de obtener acceso a las redes de las víctimas, generalmente a través de enlaces de phishing que contienen un programa de descarga de malware, los agentes reales «deshabilitan el software antivirus y extraen grandes cantidades de datos» antes de implementar el ransomware y los sistemas de cifrado.
Los expertos en seguridad creen que Royal está compuesto por actores de ransomware experimentados de operaciones anteriores, y notaron similitudes entre Royal y Conti, un prolífico grupo de piratería vinculado a Rusia que se disolvió en junio de 2022.
En noviembre de 2022, Royal ransomware fue reportado ser la operación de ransomware más prolífica, superando a Lockbit. Datos recientes muestran que Royal fue responsable de al menos 19 ataques de ransomware en febrero, detrás de 51 ataques atribuidos a LockBit y 22 ataques vinculados a Vice Society.
Aunque la mayoría de las víctimas de Royal tienen su sede en los Estados Unidos, una de sus víctimas de mayor perfil fue el circuito de Silverstone, uno de los circuitos de carreras de autos más grandes del Reino Unido. Otras víctimas reclamado por la pandilla incluyen ICS, una organización que brinda servicios de ciberseguridad al Departamento de Defensa de EE. UU., tEl Distrito Escolar de Dallas y otros.
Según el aviso del gobierno de EE. UU., las demandas de rescate hechas por Royal varían de $ 1 millón a $ 11 millones, pero aún no está claro cuánto ha ganado la operación de sus víctimas. El aviso señala que los actores de Royal también se involucran en tácticas de doble extorsión, mediante las cuales amenazan con divulgar públicamente los datos cifrados si la víctima no paga el rescate.
“En los incidentes observados, los actores reales no incluyen montos de rescate e instrucciones de pago como parte de la nota de rescate inicial”, advirtieron CISA y el FBI. “En cambio, la nota, que aparece después del cifrado, requiere que las víctimas interactúen directamente con el actor de la amenaza a través de una URL .onion”, refiriéndose a los sitios de Royal en la web oscura.
CISA y el FBI han publicado indicadores conocidos de Royal ransomware de compromiso y las operaciones tácticas, técnicas y procedimientos, que dicen han sido identificados a través de las actividades de respuesta a amenazas del FBI en enero de 2023. Las agencias han aconsejado a las organizaciones estadounidenses que apliquen mitigaciones e informen cualquier incidente de ransomware. El aviso señala que CISA y el FBI do no fomentar el pago de demandas de rescate.