royal-ransomware-group

# Royal Ransomware > [!high] Ransomware Successor do Conti - Rebrandeado como BlackSuit em 2023 > Royal Ransomware operou entre 2022 e 2023 como sucessor do Conti, antes de se rebrandear como BlackSuit. Com alerta conjunto CISA/FBI em agosto de 2024, o grupo comprometeu mais de 350 organizações globalmente, incluindo infraestrutura crítica no Brasil e América do Norte. ## Visão Geral Royal Ransomware surgiu em 2022 como herdeiro direto do grupo [[s0575-conti-ransomware]], incorporando membros experientes após a dissolução do Conti em maio de 2022. O grupo opera como um RaaS privado - sem afiliados externos como outros grupos - o que resulta em maior controle operacional e segurança operacional aprimorada. Em 2023, o grupo se rebrandeou para [[blacksuit-ransomware]], mantendo ferramentas e TTPs similares. O Royal se distinguia por sua técnica de "criptografia parcial" - em vez de cifrar todos os bytes de um arquivo, cifravam apenas uma porcentagem configurável (entre 1% e 100%), tornando a operação mais rápida e dificultando a detecção por soluções de backup que verificam hashes de arquivos. O parâmetro percentual era ajustado por ambiente para maximizar velocidade versus detectabilidade. O grupo empregava um toolkit robusto incluindo [[s0154-cobalt-strike]], [[mimikatz]] e a ferramenta de tunelamento Chisel para movimentação lateral. Para acesso inicial, o Royal explorava RDP exposto, vulnerabilidades em aplicações web e conduzia campanhas de phishing com callbacks de suporte técnico falso (vishing). No contexto LATAM e Brasil, alertas da CISA de agosto de 2024 confirmaram ataques a infraestrutura crítica, com setores de saúde, comúnicações e manufatura entre os mais afetados. O grupo também atacou sistemas de saúde pública no Brasil, causando interrupções operacionais significativas. > [!latam] Relevância para o Brasil > O **Royal/BlackSuit** tem ataques confirmados no Brasil, incluindo sistemas de **saúde pública**. Com mais de 350 organizações comprometidas globalmente e USD 275M em demandas de resgate, o grupo representa ameaça de alto impacto. A técnica de **criptografia parcial** (1-100% configurável) é particularmente perigosa porque permite velocidade de deploy e pode passar despercebida em sistemas de backup que verificam apenas existência de arquivos, não integridade. O rebrand para **BlackSuit** em 2023 manteve a ameaça ativa com as mesmas ferramentas. ## Attack Flow ```mermaid graph TB A["📧 Phishing ou RDP Exposto Callback falso de suporte técnico"] --> B["🔑 Acesso Inicial RDP, VPN ou credenciais roubadas"] B --> C["🛠️ Cobalt Strike Beacon Persitência e C2 estabelecidos"] C --> D["🔍 Reconhecimento Interno ADFind, enumeração Active Directory"] D --> E["🔑 Coleta de Credenciais Mimikatz + LSASS dump"] E --> F["↔️ Movimento Lateral PSExec, WMI, RDP"] F --> G["📤 Exfiltração via Chisel Dados para servidor do atacante"] G --> H["🔒 Criptografia Parcial 1-100% dos bytes cifrados"] H --> I["🗑️ Destruição de Backups VSS delete, BCDEdit"] ``` *Evolução: [[s0575-conti-ransomware]] → Royal → [[blacksuit-ransomware]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1566 | Phishing | Acesso Inicial | Email phishing e vishing com suporte técnico falso | | T1021.001 | RDP | Acesso Inicial | RDP exposto com credenciais comprometidas | | T1190 | Exploit Public-Facing | Acesso Inicial | Exploração de vulnerabilidades em apps web | | T1078 | Valid Accounts | Persistência | Uso de credenciais AD comprometidas | | T1003.001 | LSASS Memory | Credenciais | Dump de credenciais via Mimikatz | | T1560.001 | Archive Data | Coleta | Compressão de dados antes da exfiltração | | T1048 | Exfiltration Alt Protocol | Exfiltração | Exfiltração via Chisel (tunelamento) | | T1486 | Data Encrypted | Impacto | Criptografia parcial (1-100% configurável) | | T1490 | Inhibit Recovery | Impacto | Deleção de cópias shadow e modificação de BCD | ## Relação com BlackSuit ```mermaid graph TB subgraph Evolução CONTI["Conti Ransomware Operacoes encerradas 2022"] ROYAL["Royal Ransomware 2022-2023 Grupo privado sem afiliados"] BS["BlackSuit Ransomware 2023-presente Rebranding do Royal"] end subgraph Ferramentas Compartilhadas CS["Cobalt Strike C2 e movimento lateral"] MIM["Mimikatz Coleta de credenciais"] CHI["Chisel Tunelamento de dados"] end CONTI --> ROYAL ROYAL --> BS ROYAL --> CS ROYAL --> MIM ROYAL --> CHI BS --> CS BS --> MIM ``` *Técnicas: [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1021-001-remote-desktop-protocol|T1021.001]]* ## Impacto e Alvos O FBI e CISA documentaram em seus alertas de 2023 e 2024 que o Royal/BlackSuit: - Comprometeu mais de 350 organizações globalmente - Gerou mais de 275 milhões USD em demandas de resgate - Afetou principalmente setores: saúde, manufatura, comúnicações, educação - Realizou ataques em infraestrutura crítica no Brasil e LATAM ## Detecção e Defesa **Indicadores comportamentais:** - Beacon do Cobalt Strike em tráfego de rede - LSASS dump via Mimikatz ou ferramentas similares - Uso do Chisel para tunelamento de dados - Extensões de arquivo cifradas: `.royal` ou `.blacksuit` - Execução de `vssadmin delete shadows` e `bcdedit /set recoveryenabled no` **Mitigações recomendadas:** - Desabilitar RDP externo ou proteger com MFA e VPN - [[m1030-network-segmentation|Segmentação de rede]] para limitar movimentação lateral - Backups offline e testados com verificação de integridade - [[m1049-antivirus-antimalware|EDR]] com detecção comportamental para Cobalt Strike - Monitorar execução de vssadmin e bcdedit por processos suspeitos ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) CISA/FBI - Royal Ransomware Advisory AA23-061A (2023) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) CISA/FBI - BlackSuit Ransomware Advisory AA24-131A (2024) - [3](https://attack.mitre.org/software/S1073/) MITRE ATT&CK - Royal Ransomware S1073 (2023) - [4](https://www.bleepingcomputer.com/news/security/royal-ransomware-is-behind-dallas-city-attack/) BleepingComputer - Royal Ransomware Behind Dallas City Attack (2023)