Este ransomware nuevo ha cambiado su estrategia y utiliza cifrados parciales mucho más sofisticados y difíciles de detectar.
Royal Ransomware pertenece a un grupo de ciberdelincuencia relativamente nuevo. Inicialmente, estos ciberdelincuentes utilizaban tácticas de cifrados ya conocidas efectuadas por otros grupos en ataques similares, pero su progresión ha hecho que hayan empezado a cambiar su estrategia y a utilizar cifrados propios mucho más sofisticados.
Este grupo vinculado con Conti a punta a sectores de la salud entre sus objetivos mediante tácticas sofisticadas, incluido el cifrado parcial y rápido. Según los investigadores de Cybereason Security Research & Global SOC Team este grupo es experto en implementar ransomware y evadir la detección para que pueda causar un daño significativo antes de que las víctimas tengan la oportunidad de prevenir esos ataques o darse cuenta de ellos.
Royal ransomware opera en todo el mundo y por sí solo, pues no parece que el grupo utilice afiliados a través de ransomware-as-a-service (RaaS) o para apuntar a un sector o país específico. Se sabe que el grupo exige rescates de hasta 2 millones de dólares y afirma haber publicado el 100 % de los datos que extrae de sus víctimas.
«El grupo no parece centrarse en un sector específico, y sus víctimas varían desde empresas industriales hasta compañías de seguros, y más», afirman los investigadores de Cybereason.
Un aspecto muy importante de los métodos que usa Royal ransomware pasa por el cifrado parcial, pues bloquea, bloquea solo una parte predeterminada del contenido del archivo en lugar de todo. Aunque el cifrado parcial no es una táctica nueva, es clave para la estrategia de Royal. Según los investigadores de Cybereason, Royal amplió el concepto de basar su táctica en el cifrado de porcentaje flexible para así adaptarse al objetivo y complicar la detección.
El grupo también emplea varios subprocesos para acelerar el proceso de encriptación, dando a las víctimas menos tiempo para detenerlo una vez que comienza, y la encriptación también se inicia y se implementa inicialmente de diferentes maneras, lo que también dificulta el poder detectarlos.
Como marca de identidad, cuando efectúa el ataque, los archivos bloqueados tienen la extensión ‘.royal’ añadido a sus nombres originales. Una vez procesados los datos y encriptados, el ransomware a entrega una nota de rescate. El mensaje de los ciberdelincuentes se coloca como un archivo ‘README.TXT’ en los sistemas violados, además de ser impreso por cualquier impresora conectada a la red corporativa.
