Linux

Royal ransomware se propaga a Linux y VMware ESXi

La nueva versión de Linux del Royal ransomware se dirige a las máquinas virtuales VMware ESXi. Obtenga más información sobre esta amenaza a la seguridad y cómo protegerse contra ella.

Concepto de ransomware con hombre enmascarado sin rostro, imagen de bajo perfil de luz roja y azul y efecto de falla digitalImagen: Adobe Stock

Royal ransomware es un malware que apareció por primera vez alrededor de septiembre de 2023. Un subgrupo del notorio actor de amenazas Conti puede estar detrás de este ransomware. El grupo, conocido como Conti Team 1, lanzó el ransomware Zion antes de renombrarlo como Royal ransomware.

La razón por la que Royal se propagó tan rápido es que se convirtió en el ransomware con el mayor número de víctimas en noviembre de 2023 (Figura A), liderando el camino hacia el ransomware LockBit.

Figura A

La publicación de Twitter de DarkFeed destaca la clasificación de los principales grupos de ransomware Imagen: Twitter. Royal ransomware es el principal ransomware de noviembre de 2023.

Salta a:

Técnicas de entrega de Royal Ransomware

Según Cyble Research & Intelligence Labs, el ransomware Royal se propaga de varias maneras, siendo la técnica más común el phishing.

Informes de seguridad de lectura obligada

En noviembre de 2023, la compañía de seguros At-Bay informó que el malware puede ser el primero en explotar con éxito la vulnerabilidad de Citrix CVE-2023-27510 y obtener acceso a un dispositivo con Citrix ADC o Citrix Gateway para ejecutar un ataque de ransomware. Los actores de amenazas utilizaron las vulnerabilidades de Citrix antes de cualquier explotación pública, lo que demuestra que los grupos de ransomware se encuentran entre los actores de amenazas de ransomware más sofisticados.

Royal ransomware también se puede entregar a través de descargadores de malware como QBot o BATLOADER.

El formulario de contacto de la empresa también se utilizó para distribuir ransomware. El actor de amenazas primero inicia una conversación en el formulario de contacto del objetivo y, una vez que se proporciona una respuesta por correo electrónico, se envía un correo electrónico al objetivo con un enlace a BATLOADER para ejecutar el ransomware Royal.

Royal ransomware también se distribuye a través de Google Ads o mediante la instalación de software falso que finge ser legítimo, como Microsoft Teams o Zoom, alojado en sitios web falsos que parecen legítimos. Microsoft informó sobre un sitio web falso de TeamViewer que sirvió el ejecutable BATLOADER que implementó el ransomware Royal (Figura B).

Figura B

Sitios falsos de TeamViewer que propagan malwareImagen: Microsoft. Los sitios web falsos de TeamViewer propagan malware.

Los formatos de archivo poco comunes, como los discos duros virtuales que imitan el software legítimo, también se utilizan como descargadores de primera etapa para el ransomware Royal.

Objetivo real del ransomware

Las industrias más afectadas por el ransomware Royal fueron la fabricación, los servicios profesionales y los alimentos y bebidas (Figura C).

Figura C

Gráfico circular que ilustra las industrias objetivo del ransomware RoyalImagen: Cyble. Industrias objetivo del ransomware Royal.

En cuanto a la ubicación de estas industrias, Royal Ransomware apunta principalmente a los Estados Unidos, seguido de Canadá y Alemania (Figura D).

Figura D

Mapa mundial sombreado en azul con puntos rojos de diferentes tamaños que indican dónde se ataca con más frecuencia el ransomware RoyalImagen: Cyble. Royal ransomware dirigido a países.

Dependiendo del objetivo, el monto del rescate exigido por el grupo oscila entre $ 250,000 y más de $ 2 millones.

Nuevas amenazas de Linux apuntan a VMware ESXi

La nueva muestra de Royal ransomware informada por Cyble es un ejecutable de Linux de 64 bits compilado con GNU Compiler Collection. El malware primero realiza una prueba de cifrado y termina el malware si falla; consiste simplemente en cifrar la palabra «prueba» y verificar el resultado.

VER: Operación masiva de ransomware dirigida a VMware ESXi (Tecnopedia)

Luego, el código malicioso recopila información sobre la ejecución de máquinas virtuales VMware ESXi a través de la herramienta de línea de comandos esxcli, guarda el resultado en un archivo y luego usa la herramienta esxcli nuevamente para terminar todas las máquinas virtuales.

Luego, el ransomware implementa múltiples subprocesos para cifrar archivos, excluyendo algunos archivos, como los suyos propios: archivos readme y royal_log_* y archivos con extensiones de archivo .royal_u y .royal_w. También excluye las extensiones .sf, .v00 y .b00. Se utiliza una combinación de algoritmos de cifrado RSA y AES para el cifrado.

Cuando el malware cifra los datos, crea una nota de rescate en un proceso paralelo (Figura E).

Figura E

Nota de rescate del ransomware RoyalImagen: Torre Fly. Una nota de rescate del Royal ransomware.

Cómo protegerse contra esta amenaza real de ransomware

Dado que los actores de amenazas utilizan diversas técnicas para comprometer a las empresas e implementar el ransomware Royal, existen múltiples vectores de infección que deben protegerse. Además, el actor de amenazas ha demostrado su capacidad para desencadenar ataques no revelados en el software, por lo que todos los sistemas operativos y el software deben mantenerse actualizados y parcheados en todo momento.

El correo electrónico es la forma más común de comprometer a las empresas, y no es diferente para la pandilla real de ransomware. Por lo tanto, se debe implementar una solución de seguridad en el servidor web y los administradores deben verificar todos los archivos adjuntos y enlaces incluidos en los correos electrónicos en busca de contenido malicioso. La inspección no solo debe ser un análisis estático automatizado, sino también un análisis dinámico mediante sandboxing.

Se debe analizar el contenido de su navegador y se debe bloquear la navegación de sitios web desconocidos o de baja reputación, ya que las pandillas de Royal ransomware a veces usan nuevos sitios web falsos para propagar su malware.

Se debe establecer un proceso de respaldo de datos y realizarlo con regularidad, pero mantenerlo fuera de línea.

Finalmente, los empleados deben ser conscientes de esta amenaza de ransomware, especialmente aquellos que manipulan correos electrónicos de fuentes desconocidas, como relaciones con los medios o recursos humanos.

Lea a continuación: Política de capacitación y concientización sobre seguridad (Tecnopedia Premium)

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

LEER  Los expertos en ransomware instan a las víctimas a no pagar, pero ¿están escuchando?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba