El gobierno de EE.UU. dice Royal, una de las bandas de ransomware más activas de los últimos años, se está preparando para cambiar su marca o escindirla con un nuevo nombre, Blacksuit.
En una actualización esta semana de un aviso conjunto publicado anteriormente sobre la banda de ransomware Royal, el FBI y la agencia de ciberseguridad estadounidense CISA dijeron que la variante del ransomware Blacksuit «comparte una serie de características de codificación identificadas similares a Royal», confirmando hallazgos anteriores de investigadores de seguridad que vinculan las dos operaciones de ransomware.
«Hay indicios de que Royal puede estar preparándose para un esfuerzo de cambio de marca y/o una variante derivada», se lee en el aviso actualizado del gobierno.
CISA no dijo por qué publicó la nueva guía que vincula las dos operaciones de ransomware, y un portavoz no hizo comentarios de inmediato cuando TechCrunch lo contactó.
Royal es una prolífica banda de ransomware acusada de piratear a más de 350 víctimas conocidas en todo el mundo con demandas de rescate que superan los 275 millones de dólares. CISA y el FBI advirtieron previamente que Royal estaba apuntando a sectores de infraestructura críticos en todo Estados Unidos, incluidas organizaciones de manufactura, comunicaciones y atención médica. La ciudad de Dallas en Texas se recuperó recientemente de un ataque de ransomware que luego atribuyó a Royal.
No es raro que las bandas de ransomware creen diferentes variantes de ransomware, permanezcan en silencio durante largos períodos de tiempo o se escindan y divida en grupos completamente nuevos, a menudo en un esfuerzo por evadir la detección o el arresto por parte de las autoridades. Pero las sanciones recientemente impuestas por los gobiernos de EE.UU. y el Reino Unido probablemente estén obstaculizando los esfuerzos de la pandilla para ganar dinero, ya que las víctimas se niegan a pagar los rescates de los piratas informáticos por temor a violar las estrictas leyes de sanciones de EE.UU.
La conexión Conti
Los investigadores de seguridad descubrieron anteriormente que Royal comprende actores de ransomware de operaciones anteriores, incluido Conti, un prolífico grupo de piratería vinculado a Rusia que se disolvió en mayo de 2022, poco después de una filtración masiva de las comunicaciones internas de la pandilla provocada por el hecho de que la pandilla se puso del lado de Rusia en su invasión no provocada. de Ucrania.
Después de disolverse, Conti supuestamente se dividió en diferentes bandas, algunas de las cuales formaron la banda de ransomware Royal meses después. Royal pronto comenzó a apuntar a hospitales y organizaciones de atención médica y, en 2023, se convirtió en una de las bandas de ransomware más prolíficas.
En septiembre de 2023, los gobiernos de EE. UU. y el Reino Unido impusieron sanciones conjuntas contra 11 miembros acusados de la ya desaparecida banda de ransomware Conti. Aunque los miembros de la pandilla Conti habían pasado a nuevas operaciones de ransomware, la Agencia Nacional contra el Crimen del Reino Unido dijo en ese momento que pagar una demanda de rescate a estos individuos «está prohibido bajo estas sanciones».
A menudo se imponen sanciones gubernamentales contra personas que están fuera del alcance del arresto de las fuerzas del orden estadounidenses, como las que se encuentran en Rusia, que normalmente no deporta a sus ciudadanos. Las sanciones dificultan que los delincuentes se beneficien del ransomware al prohibir efectivamente a las víctimas pagar a una persona o entidad sancionada. Las sanciones suelen estar dirigidas a individuos y no a las operaciones en sí, en parte porque los grupos criminales cambiarían el nombre o la marca para eludir las sanciones.
Allan Liska, analista de inteligencia de amenazas de Recorded Future, dijo a TechCrunch que incluso un vínculo tácito con una persona sancionada podría infringir las leyes de sanciones.
«Varios miembros del equipo detrás del ransomware Royal son ex-Conti, por lo que es posible que las empresas que lo sabían comenzaran a negarse a pagar a Royal después de que se impusieron las sanciones», dijo Liska. «Más importante aún, es suficiente para asustar a los negociadores de ransomware, las empresas de respuesta a incidentes y las compañías de seguros que apoyan a las víctimas».
Las bandas de ransomware suelen publicar partes de los datos robados de una víctima en sus sitios de filtración en un intento de extorsionar a la víctima para que pague un rescate. Las bandas de ransomware pueden eliminar los datos de una víctima una vez que ésta inicia negociaciones o paga el rescate. No es raro que las organizaciones de víctimas dependan de empresas de terceros, como bufetes de abogados y compañías de seguros cibernéticos, para negociar con los piratas informáticos o realizar pagos de rescate en su nombre.
El FBI ha aconsejado durante mucho tiempo a las víctimas que no paguen el rescate de un pirata informático, ya que esto fomenta nuevos ataques cibernéticos.