Site icon Sophos News

Los federales advierten del ransomware Royal que utiliza toda la gama de TTP

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA), que se autodenomina la “Agencia de Ciberdefensa de EE.UU.”, acaba de publicar un anuncio de servicio público bajo su lema #StopRansomware.

Este informe lleva el número AA23-061a, y si crees que el ransomware es la amenaza de ayer, o que otros ciberataques específicos deberían encabezar la lista en 2023, merece la pena leerlo.

Los riesgos a los que te expones al apartar la vista de la amenaza del ransomware en 2023 para centrarte en el siguiente tema que vuelve a estar de moda pese a ser ya conocido (¿ChatGPT? ¿Criptojacking? ¿Locklogging? ¿Robo de código fuente? ¿Fraude 2FA?) son similares a los riesgos a los que te habrías enfrentado si hubieras empezado a centrarte exclusivamente en el ransomware hace unos años, cuando era la nueva amenaza del momento.

En primer lugar, a menudo te darás cuenta  que cuando una ciberamenaza parece estar disminuyendo, la verdadera razón es que otras amenazas están aumentando en términos relativos, en lugar de que la que crees que ya no existe esté desapareciendo en términos absolutos.

De hecho, el aparente aumento de la ciberdelincuencia X que va acompañado de un aparente descenso de Y podría deberse simplemente a que cada vez más ciberdelincuentes que antes estaban especializados en Y ahora se dedican a X además de a Y, en lugar de solo a Y.

En segundo lugar, incluso cuando un ciberdelito concreto muestra un descenso absoluto en su prevalencia, casi siempre descubrirás que sigue habiendo muchos, y que el peligro no disminuye si te atacan.

Como nos gusta decir: “Los que no pueden recordar el pasado están condenados a repetirlo”.

Royal

El aviso AA23-061a se centra en una familia de ransomware conocida como Royal, pero los puntos clave del aviso del CISA son los siguientes:

Para que quede claro, tienes que mejorar la defensa contra todas estas TTP (herramientas, técnicas y procedimientos), independientemente de que una oleada concreta de atacantes pretenda chantajearte como parte de su juego final.

Dicho esto, por supuesto, parece que esta banda Royal está muy interesada en la técnica identificada por el marco MITRE ATT&CK del gobierno de EE.UU. con la etiqueta T1486, que lleva el inquietante nombre de Cifrados de datos por impacto.

En pocas palabras, T1486 generalmente denota atacantes que planean extorsionarte a cambio de descifrar tus preciados archivos, y que pretenden exprimirte más que nunca creando el mayor trastorno posible, y por tanto dándose a sí mismos la mayor ventaja de chantaje que puedan.

De hecho, el boletín AA23-061a advierte de que:

Los [delincuentes del ransomware] Royal han pedido rescates que oscilan entre aproximadamente 1 millón y 11 millones de USD en bitcoins.

Y, para que quede claro, normalmente roban (o, más exactamente, hacen copias no autorizadas de) tantos datos como pueden antes de congelar tus archivos, para ejercer aún más presión extorsionadora:

Tras acceder a las redes de las víctimas, los Royal desactivan el software antivirus y exfiltran grandes cantidades de datos antes de desplegar finalmente el ransomware y cifrar los sistemas.

¿Qué hacer?

Los delincuentes como la banda Royal se conocen en la jerga como adversarios activos, porque no se limitan a disparar malware y ver si cuela.

Utilizan herramientas preprogramadas y scripts siempre que pueden (a los delincuentes les gusta la automatización tanto como a cualquiera), pero prestan atención individual a cada ataque.

Esto les hace no sólo más adaptables (cambiarán sus TTP en un momento si descubren una forma mejor de causar daño), sino también más sigilosos (adaptarán sus TTP en tiempo real a medida que descubran tu libro de jugadas defensivo).

Exit mobile version