La aparición repentina del ransomware real a principios de 2023 marcó una escalada significativa en las amenazas cibernéticas dirigidas a proveedores de servicios en toda Europa.
Explotando las puertas de enlace de VPN y desktop remoto, los atacantes iniciaron campañas de fuerza bruta y estufas de credenciales para violar las defensas perímetro.
Una vez dentro, el malware implementó un motor de cifrado personalizado que aprovechó AES-256 para el cifrado de archivos y RSA-4096 para proteger las claves simétricas, la comunicación, la facturación y las bases de datos de contratos completamente inaccesibles.
Las operaciones diarias se detienen en cuestión de horas, subrayando la eficiencia devastadora del ransomware moderno.
A los pocos días del incidente, los analistas de WA.DE identificado Movimiento lateral inusual facilitado por las credenciales robadas de dominio-admina, lo que permite a los actores de amenaza a girar a través de servidores críticos sin detección.
Poco después, “Royal” eliminó una nota de rescate en cada impresora en red: una clara advertencia de que todos los sistemas estaban encriptados y que la herramienta de descifrado solo se entregaría al recibir varias docenas de bitcoin.
A pesar del rápido compromiso con los respondedores de la ley y la seguridad cibernética, la compañía afectada enfrentó un tiempo de inactividad prolongado y pérdidas operativas paralizantes.
Los esfuerzos de restauración dependieron de un pago negociado de bitcoin a mediados de 2023. Incluso después de que finalmente se adquirieron las claves de descifrado, la reconstrucción de las tuberías de datos y la reconciliación de los asentamientos premium requerían una intervención manual durante meses.
La Compañía estima los daños totales en el rango de euros de mediados de siete cifras, una cifra agravada por la incautación de activos de criptografía por parte de los fiscales durante su investigación en curso.
Hoy, los procedimientos de insolvencia se cierran como la incapacidad de recuperar esos fondos ha descarrilado cualquier reestructuración significativa.
Después de esta descripción general, profundizamos en el mecanismo de infección del ransomware real para comprender cómo evadió la detección en múltiples capas de defensa de red.
Mecanismo de infección de ransomware real
Royal inicia su ataque escaneando los puntos finales de RDP y VPN abiertos, implementando un cargador liviano basado en GO que establece un canal de comando y control de TLS encriptado.
Posteriormente, el cargador inyecta un código de carcasa independiente de la posición, codificado a través de XOR y rotaciones, en la memoria, evitando las soluciones antivirus basadas en disco.
Esta carga útil en memoria descifra un módulo secundario que cosecha las credenciales de activo directorio utilizando llamadas API de Windows como lSaretrievePrivatedata y NetusergetInfo.
Después de obtener privilegios elevados, deshabilita el Servicio de recuperación de Windows (SC Stop Winre) y renombra los ejecutables del servicio de copia de sombra de volumen para evitar la reversión.
Finalmente, enumera todas las unidades lógicas y cifra archivos que coinciden con extensiones específicas en hilos paralelos:-
para (cada archivo en Target_Paths) {AES256_Encrypt (archivo, session_key); RSA4096_Encrypt (session_key, public_key); }
Al encadenar estas tácticas, Royal logra la velocidad y el sigilo, evadiendo escáneres basados en la heurística y garantizando la máxima interrupción en la ejecución.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
