Royal Ransomware activo en América Latina
El equipo de la Unit 42 ha observado que este grupo compromete a las víctimas a través de una infección BATLOADER, que los actores de amenazas generalmente propagan a través del envenenamiento de optimización de motores de búsqueda (SEO). Esta infección implica dejar caer un Cobalt Strike Beacon como precursor de la ejecución del ransomware.
Royal también amplió su arsenal al desarrollar una variante ELF para afectar los entornos Linux y ESXi. La variante ELF es bastante similar a la variante de Windows y la muestra no contiene ninguna ofuscación. Todas las cadenas, incluida la clave pública RSA y la nota de rescate, se almacenan como texto sin formato.
El Royal Ransomware Group también ha aprovechado las técnicas de evasión en instancias virtuales, lo que dificultó a los defensores evitar el cifrado una vez que el actor de la amenaza obtuvo acceso al entorno objetivo.
