 |
Un reconocido grupo de la amenaza patrocinado por el estado ruso, está desplegando un nuevo malware. Mejor conocido como Royal, el grupo parece ser una variante ransomware que surgió después de la desmantelación del grupo Conti. Conti es un malware de tipo ransomware que fue detectado por primera vez en el 2019 y cuyas principales víctimas son las redes corporativas. |
En esta ocasión, todo parece indicar que los operadores de Royal han desarrollado su propio cargador de malware basado en otras cargas como Emotet, IcedID y Qbot.
De acuerdo con el informe reciente, el principal objetivo de esta amenaza es penetrar e infectar los dispositivos endpoint para desplegar balizas Cobalt Strike.
Cobalt Strike es una herramienta ampliamente utilizada entre los ciberdelincuentes. Principalmente, estas balizas se instalan en el sistema comprometido para permitir a los atacantes controlar y dirigir las operaciones desde una ubicación remota.
Además, su diseño permite a los atacantes establecer su persistencia ofreciendo sigilo y evasión de la detección de los sistemas de seguridad.
Ahora bien, para obtener el acceso inicial, Royal explota la vulnerabilidad comúnmente aprovechada por Qbot: CVE-2022-41073.
Una vez infecta el sistema objetivo, el malware se conecta automáticamente a un servidor Royal C2 para contactar con los atacantes.
Por si esto fuera poco, los investigadores advierten que Royal tiene acceso al troyano bancario de Anubis, por lo que el cargador añade funcionalidades clave del malware.
Capacidades de Anubis:
- Registro de pulsaciones del teclado
- Realizar capturas de pantalla
- Acceso remoto
- Grabación de audio y video
- Interceptación de mensajes
Finalmente, de acuerdo con los analistas del malware, el grupo planea hacer uso de este ransomware en campañas de spam dirigidas a organizaciones corporativas.
Por ello, es importante que las organizaciones consideren las tácticas, técnicas y procedimientos utilizados por esta amenaza para protegerse de manera oportuna y tomar las medidas que sean necesarias.
Recomendaciones:
Se le recomienda a todos los administradores que apliquen una estrategia integral de ciberseguridad, centrada en la prevención, detección y respuesta a este tipo de amenazas.
Prácticas básicas de ciberseguridad
Mantener el sistema parcheado y actualizado
Utilizar contraseñas seguras
No abrir enlaces o archivos adjuntos provenientes de correos electrónicos desconocidos
Implementar soluciones antivirus confiables
Hacer copias de seguridad
Fuente: https://cyware.com/news/royal-gang-builds-its-own-malware-loader-383629ab/?web_view=true