Los investigadores de Trellix han compartido los detalles de un ataque de Royal ransomware contra uno de sus clientes, revelando información sobre las tácticas, técnicas y procedimientos (TTP) empleados por una de las operaciones de ransomware más activas y peligrosas del mundo.
Royal ransomware se detectó por primera vez en enero de 2022, pero el grupo aumentó su actividad a partir de septiembre. Desde entonces, se ha convertido en una amenaza peligrosa y generalizada y en el tema de las advertencias de las autoridades estadounidenses.
Según la última telemetría de Trellix, en lo que va de 2023, la mayoría de las detecciones de Royal se han visto en Turquía, pero Estados Unidos e Irlanda también han sido víctimas graves. La operación también se dirige activamente a organizaciones de Europa Occidental, Brasil, India, Japón, Sudáfrica, Tailandia, los Emiratos Árabes Unidos y Ucrania. El Reino Unido parece ser menos objetivo en la actualidad.
Es probable que la operación incluya a exmiembros del cartel Conti, que se dividió en medio de recriminaciones hace casi un año, después de que miembros descontentos, molestos por su declaración de apoyo a la invasión rusa de Ucrania, filtraran los datos de la pandilla.
Como resultado de absorber a estos individuos, Royal pudo ampliar significativamente sus propias habilidades técnicas. Entre otras cosas, cambió los casilleros de BlackCat a Zeon, antes de desarrollar e implementar el suyo propio, que contiene algunas similitudes con el de Conti.
Quizás el elemento común más notable es el cifrado “basado en fragmentos” de Royal, un enfoque granular del cifrado que permite a un operador de ransomware cifrar un cierto porcentaje de cada archivo. Esto significa que Royal puede elegir entre un enfoque de extorsión más rápido, pero más inseguro, o un enfoque más lento, pero más seguro.
En primera instancia, el operador del ransomware puede llevar a cabo su ataque más rápidamente y potencialmente evitar la activación de productos anti-ransomware, pero el riesgo inherente es que la víctima puede recuperar sus archivos más fácilmente por sí misma o averiguar qué les falta y, por lo tanto, resistir la demanda de extorsión.
En el segundo escenario, a la víctima le resultará más difícil, si no imposible, recuperar sus datos, pero los archivos tardan más en cifrarse y el proceso más complicado corre el riesgo de activar los mecanismos de defensa.
De manera similar a Conti, la pandilla también se ve a sí misma como una operación de prueba de penetración profesional que ejecuta un servicio útil (aunque no programado ni solicitado).
Un ejemplo de su nota de rescate actual compartida por Trellix destaca esta actitud. Dice: “Royal le ofrece un trato único. Por una regalía modesta (¿entendido, entendido?) por nuestros servicios de pentesting, no solo le brindaremos un increíble servicio de mitigación de riesgos, que lo cubrirá de riesgos reputacionales, legales, financieros, normativos y de seguros, sino que también le brindaremos una revisión de seguridad para sus sistemas.
“En pocas palabras, sus archivos se descifrarán, sus datos se restaurarán [sic] confidencial, y sus sistemas permanecerán seguros. ¡Pruebe Royal hoy y entre en la nueva era de seguridad de datos! ¡Esperamos saber de usted pronto!”
Los investigadores de Trellix, Alexandre Mundo y Max Kersten, escribieron en su resumen: “El Royal Ransom se usa activamente, como se destaca en el caso de respuesta a incidentes.
“Además, el esquema de cifrado del ransomware parece estar implementado correctamente. Como tal, las copias de seguridad recientes o un descifrador son las únicas formas de recuperar archivos perdidos. El cifrado basado en fragmentos acelera el proceso de cifrado al mismo tiempo que garantiza que los archivos no se puedan recuperar.
“La reutilización de características entre grupos de ransomware, como Royal Ransom y Conti en este supuesto caso, da que pensar con respecto a la colaboración de pandillas, o miembros de pandillas que se unen a pandillas diferentes o adicionales.
“En pocas palabras, la evolución del ransomware de una pandilla seguramente influirá en otras pandillas de ransomware, lo que afecta a cualquier organización a la que se dirige. Como tal, es importante estar al tanto de los cambios y mejorar la postura de seguridad cuando sea necesario”.
Caso de estudio
La víctima anonimizada de Royal encontró sus sistemas encriptados a fines de 2022. Todo el proceso, desde el acceso inicial de la pandilla hasta la ejecución del casillero, se desarrolló durante un período de tres días.
En este caso, Royal usó un simple correo electrónico de phishing para obtener acceso inicial, basando su correspondencia en el secuestro de un hilo existente y anteriormente benigno, y enlazando su interjección con un archivo adjunto malicioso en forma de archivo HTML.
Cuando un empleado lo abrió, el archivo HTML hizo que apareciera un aviso que explotaba la marca de Adobe. Este aviso le decía a la víctima que el archivo no se podía mostrar correctamente y que debía descargar un archivo para verlo. También incluía una contraseña para el archivo para la descarga.
El archivo en sí contenía una imagen ISO que, cuando se montó, contenía varios archivos, un archivo de acceso directo (LNK), una carpeta oculta con un señuelo, un archivo por lotes y una carga útil de Qbot: Qbot o Qakbot es un troyano bancario convertido en ladrón de información y con frecuencia encabeza los ‘gráficos’ de malware más observados. El script por lotes hizo frente a Qbot a la carpeta temporal de la víctima y ejecutó la carga útil desde la unidad montada.
A partir de aquí, utilizando la agencia de registro Run, Qbot estableció la persistencia en el orden de inicio y pudo ejecutarse cada vez que se iniciaba la máquina comprometida.
Aproximadamente cuatro horas más tarde, Cobalt Strike, la herramienta de red-team que se ha convertido en una de las favoritas de los ciberdelincuentes, hizo su aparición y se instaló como un servicio en un controlador de dominio que Royal había comprometido utilizando la técnica pass-the-hash para mover lateralmente También utilizaron herramientas adicionales, incluido AdFind, para enumerar la red de Active Directory (AD).
Para escalar sus privilegios en esta etapa, Royal utilizó una técnica de omisión de Control de cuentas de usuario (UAC) basada en una condición de carrera específica en la herramienta de limpieza de disco de Windows 10 en la que un secuestro de biblioteca de vínculos dinámicos (DLL) puede conducir a la ejecución de código arbitrario con mayor privilegios
Royal usó estos privilegios para ejecutar un comando de PowerShell e iniciar el marco de trabajo posterior a la explotación de PowerSploit a través del servicio de Cobalt Strike en el puerto 11925. En este caso, descargó y ejecutó el módulo PowerView.
Con su punto de apoyo establecido, Royal pasó desapercibido durante un día antes de usar la herramienta MEGAsync, una herramienta legítima que permite la sincronización con MEGA Cloud Drives para descargar y robar aproximadamente 25 gigabytes de datos. Unas horas más tarde, ejecutaron el ransomware, que se destaca por su nombre, que se adaptó específicamente al nombre de la víctima, lo que demuestra la naturaleza operada por humanos de Royal.
Todo el proceso fue notablemente rápido, según Mundo y Kersten. Dijeron: “En general, el cambio rápido de la infección inicial a un entorno totalmente comprometido muestra por qué es importante estar al tanto de las cosas desde el punto de vista del equipo azul”.
Más información sobre la operación actual de Royal, incluidos detalles técnicos detallados, indicadores de compromiso (IoC) y una nueva regla de Yara que se puede usar para detectar las variantes de casilleros de Windows y Linux, está disponible en Trellix.