El gobierno de EE. UU. dice que Royal, una de las pandillas de ransomware más activas en los últimos años, está preparando un rebranding o spin off con un nuevo nombre, Blacksuit.
En una actualización esta semana a un aviso conjunto previamente publicado sobre la pandilla de ransomware Royal, el FBI y la agencia de ciberseguridad de EE. UU. CISA dijeron que la variante de ransomware Blacksuit «comparte una serie de características de codificación identificadas similares a Royal», confirmando hallazgos anteriores de investigadores de seguridad que vinculan las dos operaciones de ransomware.
«Hay indicios de que Royal puede estar preparándose para un esfuerzo de rebranding y/o una variante de spinoff», dice el aviso actualizado del gobierno.
CISA no dijo por qué lanzó la nueva orientación que vincula las dos operaciones de ransomware, y un portavoz no comentó de inmediato cuando se contactó con TechCrunch.
Royal es una pandilla de ransomware prolífica acusada de hackear a más de 350 victimas conocidas en todo el mundo con demandas de rescate que superan los $ 275 millones. CISA y el FBI advirtieron previamente que Royal estaba atacando sectores de infraestructura crítica en Estados Unidos, incluidas organizaciones de fabricación, comunicaciones y salud. La ciudad de Dallas en Texas se recuperó recientemente de un ataque de ransomware que atribuyó más tarde a Royal.
No es raro que las pandillas de ransomware creen diferentes variantes de ransomware, se mantengan en silencio durante largos períodos de tiempo, o se separen y se fragmenten en grupos completamente nuevos, a menudo en un esfuerzo por evadir la detección o el arresto por parte de las fuerzas del orden. Pero las sanciones impuestas recientemente por los gobiernos de Estados Unidos y Reino Unido probablemente estén obstaculizando los esfuerzos de recaudación de dinero de la pandilla, ya que las víctimas se niegan a pagar los rescates de los hackers por temor a violar las estrictas leyes de sanciones de EE. UU.
La conexión Conti
Investigadores de seguridad encontraron previamente que Royal comprende actores de ransomware de operaciones anteriores, incluido Conti, un prolífico grupo de piratas informáticos vinculado a Rusia que se disolvió en mayo de 2022, poco después de que una enorme filtración de comunicaciones internas de la pandilla provocada por la pandilla se unió a Rusia en su invasión no provocada de Ucrania.
Después de disolverse, se informó que Conti se fragmentó en diferentes pandillas, algunas de las cuales formaron la pandilla de ransomware Royal meses después. Royal pronto comenzó a atacar a hospitales y organizaciones de salud y para 2023 se convirtió en una de las pandillas de ransomware más prolíficas.
En septiembre de 2023, los gobiernos de EE. UU. y Reino Unido impusieron sanciones conjuntas contra 11 miembros acusados de la pandilla de ransomware Conti, desde entonces extinta. Aunque los miembros de la pandilla Conti habían pasado a nuevas operaciones de ransomware, la Agencia Nacional del Crimen del Reino Unido dijo en ese momento que pagar una demanda de rescate a estas personas «está prohibido bajo estas sanciones».
Las sanciones gubernamentales a menudo se imponen contra individuos que no están al alcance del arresto de las fuerzas del orden de EE. UU., como los que están en Rusia, que generalmente no deporta a sus ciudadanos. Las sanciones dificultan que los criminales obtengan ganancias de ransomware al prohibir efectivamente a las víctimas pagar a un individuo o entidad sancionada. Las sanciones suelen estar dirigidas a individuos en lugar de a las operaciones mismas, en parte porque los grupos delictivos cambiarían de nombre o se rebrandarían para eludir las sanciones.
Allan Liska, analista de inteligencia de amenazas en Recorded Future, dijo a TechCrunch que incluso un vínculo tácito con un individuo sancionado podría violar las leyes de sanciones.
«Varios miembros del equipo detrás del ransomware Royal son ex Conti, por lo que es posible que las empresas informadas comenzaran a negarse a pagar a Royal después de que se impusieron las sanciones», dijo Liska. «Más importante aún, es suficiente para asustar a los negociadores de ransomware, las firmas de respuesta a incidentes y las compañías de seguros que apoyan a las víctimas».
Las pandillas de ransomware suelen publicar partes de los datos robados de una víctima en sus sitios de filtración en un intento de extorsionar a la víctima para que pague un rescate. Las pandillas de ransomware pueden eliminar los datos de una víctima una vez que una víctima inicia negociaciones o paga el rescate. No es raro que las organizaciones víctimas dependan de empresas de terceros, como bufetes de abogados y compañías de ciberseguros, para negociar con los hackers o realizar pagos de rescate en su nombre.
El FBI ha aconsejado durante mucho tiempo a las víctimas que no paguen el rescate de un hacker, ya que esto fomenta más ciberataques.
¿Funcionan las sanciones gubernamentales contra los grupos de ransomware?
