El grupo de Ransomware “Royal”, quien fuera visto por primera vez en septiembre de 2022 y cuyos miembros habrían sido exmiembros del grupo conocido como Conti. Han expandido su arsenal y ahora apuntan a entornos de Linux y VMware ESXi a través de malware desarrollado en binario de formato ejecutable y enlazable (ELF).
A diferencia de otros grupos que operan como ransomware-as-a-service (RaaS) como en el caso de LockBit 3.0 Royal no ha sido visto siguiendo este modus operandi, esto probablemente se deba a que la mayoría de sus integrantes lo conforman personal que fuera, en algún momento parte del grupo de ransomware Conti, específicamente el grupo conocido como Team One, quienes siempre operaron de manera en cubierta y a puertas cerradas.
El grupo Royal se ha caracterizado por extorsionar a la víctima hasta que el pago sea asegurado, esto incluye el acoso no solo a la infraestructura como tal, sino que, involucra el acoso a trabajadores, proveedores e inclusive los clientes de las empresas a las que ataca.
Cadena de infección
Royal posee diferentes cadenas de infección, como lo son SEO poisoning y malvertising, usados como vector de acceso inicial, esto con el fin de engañar a la víctima para que descargue y ejecute archivos maliciosos disfrazados de software legitimo. Esto a su vez inicia una cadena de infección más compleja que involucra secuencias de comandos de PowerShell y archivos MSI, lo que, en algunos casos conduce infección con BATLOADER.
Seguidamente BATLOADER procede a descargar payloads en el dispositivo infectado, como VidarStealer, Ursnif/ISFB y Redline stealer, además de herramientas legitimas como NSudo y la herramienta de monitoreo y gestión de Syncro, sin embargo, algo que resulta de mayor importancia es BATLOADER cargando Cobal Strike, el cual se sabe, es un precursor para la distribución de malware.
Se ha observado el uso de un segmento de código en C#, que una vez compilado descifra y carga shellcode, que resulta ser un Meterpretes que busca alcanzar una dirección IP y así ejecutar la baliza de Meterpreter final. Esta IP aloja un servidor Cobalt Strike. Desde la cual se puede recuperar la configuración de este.
Para evadir sistemas de defensa Royal hace uso de PowerTool para sí poder remover software de seguridad en endpoints. También, secuencias de comandos por lotes para desactivar los servicios relacionados con la seguridad y eliminar las instantáneas de los archivos y los registros después de la filtración.
Para mantener el acceso al entorno infectado, Royal, al igual que muchos otras operaciones de ransomware, utiliza softwares legítimos de gestión remota, a su vez el uso de Cobalt Strike y otras balizas relacionadas se asocian a comando y control (C2).
Variante de Linux
Una variante de Royal ransomware seria descubierta en febrero de 2023, siendo esta la primera versión conocida que no tiene como objetivo los sistemas Windows. Sin embargo, si se considera que varias familias de ransomware tienen una variante enfocada en ESXi/Linus, esta variante de Royal no es inusual.
Esta variante resulta ser similar a la variante de Windows y la muestra no contiene ninguna ofuscación, todas las secuencias de comandos incluyendo la llave publica RSA y la nota de rescate se encuentras almacenadas como texto plano. Hay, sin embargo, mínimas diferencias entre estas versiones. En el cifrado AES-256 es utilizado para el cifrado simétrico mientras que RSA-4096 es utilizado para el cifrado simétrico. Existen cinco posibles argumentos de la variable de Royal para Linux, siendo estas:
| Argumento | propósito |
| -id | ID de 32 caracteres para la muestra en ejecución. |
| -ep | Porcentaje de cifrado – indica el porcentaje de cada archivo a cifrar. |
| -stopv | Indica a la muestra si parar el proceso VM-linked o no. |
| -fork | Olvida el proceso actual de encriptación. |
| -logs | Indica a la muestra que registre la información en un archivo. |
Es importante hacer notar que durante el proceso de enumeración y cifrado, la muestra evita archivos que contengan las extensiones y nombres de archivos a continuación listados.
- .v00
- .b00
- .sf
- .royal_u
- .royal_w
- .royal_log_
- .readme
La variante también se compila con la biblioteca OpenSSL, lo que resulta en un gran número de cadenas cripto-enlazadas sin referencia.
Recomendaciones
- Implementación de regles de Protección frente a amenazas conductuales (BTP) permite prevenir actividad de ransomware en Linux.
- Implementación de Firewalls de próxima generación (NFGW). Los cuales permiten detectar firmas de DNS de dominios relacionados a C2.
Indicadores de compromiso
Hashes
| 595c869f8ec7eaf71fef44bad331d81bb934c886cdff99e1f013eec7acdaf8c9 | Variante de Royal para Windows |
| b57e5f0c857e807a03770feb4d3aa254d2c4c8c8d9e08687796be30e2093286c | Variante de Royal para Linux |
| b64acb7dcc968b9a3a4909e3fddc2e116408c50079bba7678e85fee82995b0f4 | Variante de Royal para Linux |
| b64acb7dcc968b9a3a4909e3fddc2e116408c50079bba7678e85fee82995b0f4 | Variante de Royal para Linux |
| 12a6d61b309171b41347d6795002247c8e2137522a756d35bb8ece5a82fc3774 | Variante de Royal para Linux |
Infraestructura
- royal2xthig3ou5hd7zsliqagy6yygk2cdelaxtni2fyad6dpmpxedid[.]onion
