El FBI y CISA advierten sobre el aumento de los riesgos de ataques de Royal ransomware

EL FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), han publicado conjuntamente un nuevo aviso sobre el grupo de ciberdelincuentes denominado como Royal Ransomware, que se dio a conocer el año pasado.

“Después de obtener acceso a las redes de las víctimas, los actores desactivan el software de antivirus y filtran grandes cantidades de datos antes de desplegar finalmente el ransomware y cifrar los sistemas”, dijo CISA.

Se cree que el grupo delictivo de ransomware, que se ha dirigido a organizaciones estadounidenses e internacionales desde septiembre de 2022, ha evolucionado a partir de iteraciones anteriores que se denominaron Zeon.

Además, se dice que es operado por actores de amenazas experimentados que solían formar parte de Conti Team One, reveló la compañía de ciberseguridad Trend Micro en diciembre de 2022.

Royal ransomware, emplea el phishing de devolución de llamadas como un medio para entregar su ransomware a las víctimas, una técnica ampliamente adoptada por los grupos criminales de la empresa Conti el año pasado después de su cierre.

También emplean otros modos de acceso inicial que incluyen el protocolo de escritorio remoto (RDP), la explotación de aplicaciones públicas y a través de agentes de acceso inicial (IAB).

Las demandas de rescate hechas por Royal varían de $ 1 millón a $ 11 millones, con ataques dirigidos a una variedad de sectores críticos, incluidas las comunicaciones, la educación, la atención médica y la comunicación.

“El ransomware Royal utiliza un enfoque de cifrado parcial único que permite al actor de amenazas elegir un porcentaje específico de datos en un archivo para cifrar”, señaló CISA. “Este enfoque permite al actor reducir el porcentaje de cifrado para archivos más grandes, lo que ayuda a evadir la detección”.

La agencia de ciberseguridad dijo que se han utilizado múltiples servidores de comando y control (C2) asociados con Qakbot en intrusiones de ransomware de Royal, aunque actualmente no se ha determinado si el malware se basa exclusivamente en la infraestructura de Qakbot.

Las intrusiones también se caracterizan por el uso de Cobalt Strike y PsExec para el movimiento lateral, así como por confiar en el servicio de instantáneas de volumen de Windows para eliminar instantáneas y evitar la recuperación del sistema. Cobalt Strike se reutiliza aún más para la agregación y exfiltración de datos.

A partir de febrero de 2023, Royal ransomware es capaz de dirigirse a entornos Windows y Linux y se ha relacionado directamente con 19 ataques solamente en el mes de enero de 2023, lo que lo coloca detrás de LockBit, ALPHV y Vice Society.

INDICADORES DE COMPROMISO (IOC)

Consulte la tabla 1 y 2 para conocer los IOC de ransomware Royal que el FBI obtuvo durante las actividades de respuesta a amenazas a partir de enero de 2023.

Nota: Algunas de las direcciones IP observadas tienen varios meses de antigüedad. El FBI y CISA recomiendan examinar o investigar estas direcciones IP antes de tomar medidas prospectivas, como el bloqueo.

IOC

Descripción

.royal Extensión de archivo encriptado
README.TXT Nota de rescate
IPs Maliciosas Ultima Actividad
102.157.44[.]105 Noviembre 2022
105.158.118[.]241 Noviembre 2022
105.69.155[.]85 Noviembre 2022
113.169.187[.]159 Noviembre 2022
134.35.9[.]209 Noviembre 2022
139.195.43[.]166 Noviembre 2022
139.60.161[.]213 Noviembre 2022
148.213.109[.]165 Noviembre 2022
163.182.177[.]80 Noviembre 2022
181.141.3[.]126 Noviembre 2022
181.164.194[.]228 Noviembre 2022
185.143.223[.]69 Noviembre 2022
186.64.67[.]6 Noviembre 2022
186.86.212[.]138 Noviembre 2022
190.193.180[.]228 Noviembre 2022
196.70.77[.]11 Noviembre 2022
197.11.134[.]255 Noviembre 2022
197.158.89[.]85 Noviembre 2022
197.204.247[.]7 Noviembre 2022
197.207.181[.]147 Noviembre 2022
197.207.218[.]27 Noviembre 2022
197.94.67[.]207 Noviembre 2022
23.111.114[.]52 Noviembre 2022
41.100.55[.]97 Noviembre 2022
41.107.77[.]67 Noviembre 2022
41.109.11[.]80 Noviembre 2022
41.251.121[.]35 Noviembre 2022
41.97.65[.]51 Noviembre 2022
42.189.12[.]36 Noviembre 2022
45.227.251[.]167 Noviembre 2022
5.44.42[.]20 Noviembre 2022
61.166.221[.]46 Noviembre 2022
68.83.169[.]91 Noviembre 2022
81.184.181[.]215 Noviembre 2022
82.12.196[.]197 Noviembre 2022
98.143.70[.]147 Noviembre 2022
140.82.48[.]158 Diciembre 2022
147.135.36[.]162 Diciembre 2022
147.135.11[.]223 Diciembre 2022
152.89.247[.]50 Diciembre 2022
172.64.80[.]1 Diciembre 2022
179.43.167[.]10 Diciembre 2022
185.7.214[.]218 Diciembre 2022
193.149.176[.]157 Diciembre 2022
193.235.146[.]104 Diciembre 2022
209.141.36[.]116 Diciembre 2022
45.61.136[.]47 Diciembre 2022
45.8.158[.]104 Diciembre 2022
5.181.234[.]58 Diciembre 2022
5.188.86[.]195 Diciembre 2022
77.73.133[.]84 Diciembre 2022
89.108.65[.]136 Diciembre 2022
94.232.41[.]105 Diciembre 2022
47.87.229[.]39 Enero 2023
Dominios Maliciosos Ultima Actividad
ciborkumari[.]xyz Octubre 2022
sombrat[.]com Octubre 2022
gororama[.]com Noviembre 2022
softeruplive[.]com Noviembre 2022
altocloudzone[.]live Diciembre 2022
ciborkumari[.]xyz Diciembre 2022
myappearinc[.]com Diciembre 2022
parkerpublic[.]com Diciembre 2022
pastebin.mozilla[.]org/Z54Vudf9/raw Diciembre 2022
tumbleproperty[.]com Diciembre 2022
myappearinc[.]com/acquire/draft/c7lh0s5jv Enero 2023
Herramienta SHA256
AV tamper 8A983042278BC5897DBCDD54D1D7E3143F8B7EAD553B5A4713E30DEFFDA16375
TCP/UDP Tunnel over HTTP (Chisel) 8a99353662ccae117d2bb22efd8c43d7169060450be413af763e8ad7522d2451
Ursnif/Gozi be030e685536eb38ba1fec1c90e90a4165f6641c8dc39291db1d23f4ee9fa0b1
Exfil B8C4AEC31C134ADBDBE8AAD65D2BCB21CFE62D299696A23ADD9AA1DE082C6E20
Remote Access (AnyDesk) 4a9dde3979c2343c024c6eeeddff7639be301826dd637c006074e04a1e4e9fe7
PowerShell Toolkit Downloader 4cd00234b18e04dcd745cc81bb928c8451f6601affb5fa45f20bb11bfb5383ce
PsExec (Microsoft Sysinternals) 08c6e20b1785d4ec4e3f9956931d992377963580b4b2c6579fd9930e08882b1c
Keep Host Unlocked (Don’t

Sleep)

f8cff7082a936912baf2124d42ed82403c75c87cb160553a7df862f8d81809ee
Ransomware Executable d47d4b52e75e8cf3b11ea171163a66c06d1792227c1cf7ca49d7df60804a1681
Windows Command Line (NirCmd) 216047C048BF1DCBF031CF24BD5E0F263994A5DF60B23089E393033D17257CB5
System Management (NSudo) 19896A23D7B054625C2F6B1EE1551A0DA68AD25CDDBB24510A3B74578418E618

Batch Scripts

Nombre Código Hash
2.bat 585b05b290d241a249af93b1896a9474128da969
3.bat 41a79f83f8b00ac7a9dd06e1e225d64d95d29b1d
4.bat a84ed0f3c46b01d66510ccc9b1fc1e07af005c60
8.bat c96154690f60a8e1f2271242e458029014ffe30a
kl.bat 65dc04f3f75deb3b287cca3138d9d0ec36b8bea0
gp.bat 82f1f72f4b1bfd7cc8afbe6d170686b1066049bc7e5863b51aa15ccc5c841f58
r.bat 74d81ef0be02899a177d7ff6374d699b634c70275b3292dbc67e577b5f6a3f3c
runanddelete.bat 342B398647073159DFA8A7D36510171F731B760089A546E96FBB8A292791EFEE

REcomendaciones

  • Implementar un plan de recuperación, mantener y retener múltiples copias de datos y servidores confidenciales, en una ubicación físicamente separada, segmentada y segura.
  • Requerir las cuentas de usuario con inicio de sesión y contraseña (por ejemplo, cuentas de servicio, cuentas de administrador y cuentas de administrador de dominio) que cumplan con los estándares de NIST para desarrollar y administrar políticas de contraseñas.
    • Utilice contraseñas más largas que consten de al menos 8 caracteres
    • Almacene contraseñas en formato hash utilizando administradores de contraseñas reconocidos en la industria.
    • Evite reutilizar contraseñas.
    • Implemente bloqueos de cuenta después de varios intentos fallidos de inicio de sesión.
    • Deshabilite las pistas de contraseña.
    • Requiera credenciales de administrador para instalar software.
  • Utilice factor de doble autenticación para todos los servicios en la medida de lo posible, especialmente para correo, VPN, y cuentas que accedan a sistemas críticos.
  • Mantenga actualizado todos los sistemas operativos, y software.
  • Segmentos de red La segmentación de la red puede ayudar a prevenir la propagación del ransomware.
  • Instale, actualice y habilite la detección en tiempo real del AV.
  • Audite las cuentas de usuarios con privilegios administrativos y configure los controles de acceso, con el principio de privilegios mínimos.
  • Desactive los puertos no utilizados.
  • Deshabilite las actividades y permisos de línea de comandos y scripting.
  • Asegúrese de que todos los datos de copia de seguridad estén encriptados, sean inmutables
Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.