Muchas pandillas de ransomware se 'especializan' en determinados sectores o industrias como víctimas. Esto es, precisamente, lo que estaría ocurriendo con un grupo de ransomware llamado 'Royal'.
El Departamento de Salud y Servicios Humanos de EE.UU. (HHS) ha lanzado un aviso para advertir sobre los sucesivos ataques de este colectivo de ciberdelincuentes a entidades de atención médica del país.
El Centro de Coordinación de Ciberseguridad de Sector de la Salud (HC3) perteneciente a la agencia explica que Royal no habría realizado ransomware-as-a-service, sino que se trata de un grupo privado sin afiliados que mantiene la motivación económica como su principal objetivo.
Su modus operandi es robar datos para hacer a posteriori ataques de doble extorsión, con los cuales también extraen información confidencial. Generamente, piden rescates que van de los 250.000 dólares a los 2 millones.
El equipo de investigadores de Fortinet FortiGuard Labs llevaría activo desde principios de 2022. No obstante, pese a su corta vida se cree que el grupo de cibermalos se compone de actores de amenazas experimentados de otras operaciones.
Según se hace eco The Hacker News, su malware es un ejecutable de Windows de 64 bits escrito en C++ y se inicia mediante una línea de comando. Así, es necesario un operador humano para activarlo. El ransomware usa la biblioteca criptográfica OpenSSL para cifrar archivos según el estándar AES y les agrega una extensión .royal.
Microsoft también les ha seguido la pista
Hace cosa de un mes Microsoft señaló que un grupo al que estaba rastreando con el nombre de DEV-0569 hacía uso de un amplio abanico de métodos para implementar su familia de ransomware.
Esto incluiría enlaces maliciosos entregados a las víctimas por medio de anuncios, páginas de foros falsas, comentarios de blogs o correos electrónicos de phishing que conducen a archivos de instalación no autorizados para aplicaciones legítimas como Microsoft Teams o Zoom.
"Originalmente, la operación de ransomware usaba el encriptador de BlackCat, pero finalmente comenzó a usar Zeon, que generó una nota de ransomware que se identificó como similar a la de Conti", ha señalado el HHS. "Esta nota se cambió más tarde a Royal en septiembre de 2022", añade.
Otro ransomware perjudicial para la salud
Esta no es la primera vez que el Departamento de Salud y Servicios Humanos de EE.UU. lanza una advertencia contra un grupo de ransomware. A mediados de noviembre el HHS puso a las compañías de atención médica sobre aviso respecto a una pandlla conocida como Venus o GoodGame, que llevaba desde agosto atacando a dichas organizaciones.
La amenaza se encarga de cifrar los archivos de datos y cambiar sus nombres, agregando la extensión .venus, mientras elimina los registros de eventos.