Royal

Royal fue descubierto a comienzos de 2022,  y empezó utilizando para sus ataques ransomware de otros desarrolladores más consolidados en la escena. A finales de 2022, comenzaron a desarrollar su propio ransomware y, finalmente en noviembre de ese mismo año, Royal se estableció como una de las familias de ransomware más extendidas globalmente.

Debido a las múltiples similitudes presentes en el código, se cree que los actores que se encuentran detrás del grupo son antiguos miembros de Conti que cesaron su actividad en mayo de 2022. Curiosamente, aunque Royal comenzó utilizando el software de cifrado del grupo BlackCat/ALPHV para sus ataques de ransomware, luego desarrolló su propio software, probablemente para evitar atraer más atención.

El grupo, también conocido como Dev-0569 y Storm-0569, ha estado utilizando este ransomware desde noviembre de 2022, afectando hasta 43 organizaciones y exigiendo pagos de hasta 2 millones de dólares en algunos casos.

Este ransomware se distribuye principalmente a través de correos electrónicos de spear-phishing con apariencia legítima para engañar e incitar a la descarga de un fichero en el equipo de la víctima. Una vez que el usuario ejecuta el archivo, el equipo queda infectado. A través de una conexión a su servidor de Comando y Control, se instala una instancia de Qbot y de Cobalt Strike, permitiendo a los atacantes obtener el control del sistema vulnerado.

A diferencia del modelo común de ransomware como servicio, este adversario ejecuta todo el proceso de intrusión de forma independiente. Utiliza un modelo de doble extorsión, amenazando con hacer públicos los datos robados para luego exigir un pago por su eliminación.

Centrando sus ataques principalmente en EE.UU, el actor mantiene alrededor de un 64% de sus ataques en esta región. Royal ocupa el segundo lugar justo detrás de BlackBasta en lo que respecta a ataques dirigidos hacia Estados Unidos durante el año 2023.

• En mayo de 2023, la ciudad de Dallas (EE.UU) sufrió un ataque de ransomware por parte de Royal, paralizando sistemas críticos como los de la policía, bomberos y hospitales. La ciudad cuenta con más de 860 aplicaciones y una gran cantidad de personal en TI. Utilizaron una cuenta gubernamental para acceder a la infraestructura de la ciudad, desde la que implementaron herramientas de gestión remota, llegando a exfiltrar más de 1TB de información previo al cifrado del ransomware.
  El ataque fue mitigado gracias a los esfuerzos conjuntos del FBI, CISA y el equipo de TI de la ciudad. Las autoridades se enfocaron en restaurar los sistemas críticos, con una inversión estimada de más de 40.000 horas de trabajo y 10 millones de dólares.

Estos ataques evidenciaron la capacidad y peligrosidad de este grupo, que acumuló más de 200 víctimas en 2023. Sin embargo, en 2024 el número de víctimas se ha reducido drásticamente en comparación con el año anterior.