Royal Ransomware Usa el Encriptador Blacksuit para Atacar Empresas

Royal Ransomware es un grupo de ransomware compuesto por pentesters y aquellos asociados con el Conti Team 1, y otros reclutas de otras pandillas de ransomware que atacan organizaciones. Lanzado en 2023, se cree que es el sucesor de Conti, que cerró en junio de 2022.

Desde su inicio, Royal Ransomware ha estado muy activo y es responsable de varios ataques a empresas, y parece que el Grupo de Ransomware Royal ha comenzado a probar un nuevo encriptador llamado Blacksuit que tiene muchas similitudes con el encriptador de campaña regular.

Ha habido suficiente ruido desde abril pasado de que el ransomware Royal estaba siendo re-marcado bajo un nuevo nombre. Esto se volvió más serio a medida que el grupo de ransomware se sintió presionado por las fuerzas del orden después de atacar la ciudad de Dallas, Texas.

En mayo, investigadores de ciberseguridad descubrieron ataques que usaban su propio encriptador de marca y negociación Tor, y se cree que estas eran las campañas a las que el ransomware Royal se re-marcaria, pero como resulta, no hubo re-marcado, el grupo de ransomware sigue atacando a las organizaciones y está usando Blacksuit en menos ataques.

Yelisey Bohuslavskiy, Socio y Jefe de I+D en RedSense, publicó en LinkedIn que Royal, el heredero directo de Conti, consiste en más de 60 pentesters, ya sea del antiguo Gaurd de Conti o reclutados de varios grupos de ransomware de élite. Operando en pequeños grupos de 4-5 individuos, permanecen leales a sus líderes.

Leer: Nueva Variante de Troyano Royal Descubierta, Apunta a Máquinas Virtuales VMware ESXi

El grupo de ransomware emplea Blacksuit y Royal Loader, con Emotet e IcedID como precursores. Priorizan alternativas a CobaltStrike, especialmente Silver, y desarrollan precursores personalizados.

Según Bohuslavskiy, es viable que el grupo de ransomware simplemente esté probando un nuevo encriptador como lo han estado haciendo con otras herramientas utilizadas por ellos, incluyendo un nuevo loader IcedID y revitalizando Emotet.

También siguen mejorando el Emoled para revitalizarlo y están trabajando mucho en IcedID. Sus experimentos con nuevos lockers son naturales en ese sentido, menciona Bohuslavskiy.

Además de esto, Bohuslavskiy dijo que podríamos ver más cosas como Blacksuit pronto. Pero hasta ahora, parece que tanto el nuevo loader como el locker Blacksuit fueron un experimento fallido.

Dado que Blacksuit es una actividad autocontenida, es probable que Royal esté planeando iniciar un subgrupo enfocado en tipos específicos de víctimas, o se está guardando para un rebranding más adelante. Aunque, puede que no veamos un rebranding ya que hay claras similitudes entre Blacksuit y Royal Ransomware, destacadas en un informe de Trend Micro.

Las similitudes incluyen similitudes de código, inclusión de archivos y más. Aunque, no está claro cómo se usará Blacksuit. Aún se está utilizando en algunos de los ataques. Hasta ahora, solo hay una víctima listada en su sitio web de filtración de datos, aunque puede cambiar muy rápido si el nuevo encriptador se usa más intensamente.

Leer: El Grupo de Hackers Dark Pink que Apunta a Organizaciones Militares y Gubernamentales