Royal y BlackSuit: La Evolución Directa de Conti que Sigue Activa
Análisis técnico de Royal ransomware y su rebrand como BlackSuit. Conexión directa con Conti, cifrado parcial, targeting selectivo y por qué este grupo representa la continuidad directa del equipo core de Conti en 2024-2026.
La línea de sangre más directa de Conti
Cuando Conti se disolvió en mayo de 2022, sus miembros se dispersaron en múltiples grupos. De todos los sucesores, Royal es el que mantiene la conexión más directa con el equipo core de desarrollo de Conti. No son afiliados que migraron: son los desarrolladores principales que reescribieron el ransomware desde una base de código compartida.
Royal apareció en septiembre de 2022, operó bajo ese nombre durante aproximadamente un año, y se rebrandeó como BlackSuit en 2023. La transición fue gradual: ambos nombres coexistieron durante un período antes de que Royal desapareciera completamente.
Timeline
| Fecha | Evento |
|---|---|
| May 2022 | Conti se disuelve. Miembros core comienzan desarrollo de Royal |
| Sep 2022 | Primeras víctimas de Royal aparecen (inicialmente usando encryptor "Zeon") |
| Nov 2022 | Royal adopta su propio locker. Leak site operativo |
| Dic 2022 | Ataque al Dallas City Hall y al circuito Silverstone (F1) |
| Mar 2023 | CISA publica advisory AA23-061A sobre Royal |
| May 2023 | BlackSuit aparece como variante/rebrand |
| Jul 2023 | Transición gradual de Royal a BlackSuit |
| 2024 | BlackSuit opera como nombre principal |
| 2025-2026 | BlackSuit continúa activo con volumen moderado |
Conexión con Conti: la evidencia
Código compartido
El análisis del binario de Royal revela:
- Rutinas de cifrado: el esquema de cifrado parcial de Royal comparte lógica con el locker de Conti
- Enumeración de red: patrones similares de descubrimiento de shares SMB
- Exclusiones: listas de extensiones y directorios excluidos casi idénticas a las de Conti
- Strings: strings de error y mensajes internos consistentes con el codebase de Conti
TTPs operativas
Las tácticas de post-explotación de Royal son las mismas que documentan los Conti Leaks:
- Uso de Cobalt Strike con profiles personalizados
- Mimikatz para credential dumping
- BloodHound/AdFind para AD enumeration
- PsExec para movimiento lateral
- Despliegue vía GPO
Modelo operativo cerrado
Royal opera como un grupo cerrado, sin programa de afiliados público. Esto es consistente con la estructura interna de Conti (salarios, no porcentajes). Los miembros son seleccionados internamente, no reclutados en foros.
Arquitectura técnica
Cifrado
| Componente | Especificación |
|---|---|
| Cifrado simétrico | AES-256-CBC (variantes tempranas), ChaCha20 (BlackSuit) |
| Cifrado asimétrico | RSA-2048 |
| Cifrado parcial | Configurable: porcentaje del archivo |
| Threading | Multihilo con control de concurrencia |
| Plataformas | Windows (C/C++), Linux/ESXi (variantes separadas) |
Cifrado parcial configurable
Royal implementa cifrado parcial con un parámetro de porcentaje configurable:
- Archivos pequeños (menos de 5,24 MB): cifrado completo
- Archivos medianos (5,24 MB - 63 MB): cifrado del 50%
- Archivos grandes (más de 63 MB): cifrado del 10-25%
El porcentaje se aplica en bloques distribuidos a lo largo del archivo, no solo al principio. Esto hace que la recuperación parcial sea más difícil que en esquemas que solo cifran los primeros N bytes.
Comportamiento de ejecución
- Comprobación de argumentos de línea de comando (configuración de cifrado)
- Elevación de privilegios si no es admin
- Eliminación de shadow copies:
vssadmin delete shadows /all /quiet - Detención de servicios: SQL, backup, AV, email
- Terminación de procesos que bloquean archivos
- Enumeración de drives locales y shares de red
- Cifrado multihilo con exclusiones
- Escritura de nota de rescate
README.BlackSuit.txt
Variante Linux/ESXi
Royal/BlackSuit tiene una variante Linux escrita en C++ que:
- Cifra archivos VMDK en datastores ESXi
- Usa
esxclipara detener VMs antes de cifrar - Soporte para sistemas de archivos ext4, XFS
- Cifrado parcial aplicable a archivos de cualquier tamaño
Modelo operativo
Sin programa de afiliados público
A diferencia de LockBit, BlackCat o Hive, Royal/BlackSuit no recluta afiliados en foros underground. Las operaciones son ejecutadas por un grupo cerrado de operadores que:
- Realizan el acceso inicial (no compran a IABs regularmente)
- Ejecutan la post-explotación
- Despliegan el ransomware
- Negocian con las víctimas
Este modelo tiene ventajas y desventajas:
| Ventaja | Desventaja |
|---|---|
| Menor exposición en foros (menos riesgo de infiltración) | Menor volumen de ataques |
| Control total de la operación | No escala como un programa RaaS abierto |
| Sin riesgo de afiliados indisciplinados | Dependencia del talento interno |
| Sin necesidad de compartir beneficios |
Vectores de acceso inicial
Royal/BlackSuit usa múltiples vectores:
- Callback phishing (BazarCall): herencia directa de Conti/Wizard Spider. Emails que instruyen a la víctima a llamar a un número de "soporte"
- Google Ads maliciosos: anuncios que redirigen a descargas de software troyanizado (BATLOADER, Gootloader)
- Vulnerabilidades en appliances: explotación de vulnerabilidades en Citrix, Fortinet
- Credenciales comprometidas: RDP con credenciales de infostealer logs
Targeting selectivo
Royal/BlackSuit selecciona víctimas deliberadamente:
- Revenue medio-alto: empresas con 50-500 millones USD de facturación
- Sectores preferidos: manufactura, servicios profesionales, salud, educación
- Evita: infraestructura crítica de alto perfil (lecciones de la exposición de Conti)
- Geográficamente: principalmente EEUU, Canadá, Europa occidental
Ataques notables
| Víctima | Fecha | Sector | Impacto |
|---|---|---|---|
| City of Dallas | May 2023 | Gobierno | Servicios municipales interrumpidos, 8,5M USD en recuperación |
| Silverstone Circuit | Nov 2022 | Entretenimiento | Circuito de F1, datos corporativos |
| Cincinnati Art Museum | Dic 2022 | Cultura | Datos de empleados y donantes |
| Rochester Public Schools | Mar 2023 | Educación | 7.500 estudiantes, datos personales |
| CDK Global (como BlackSuit) | Jun 2024 | Automoción | Software dealer management, miles de concesionarios afectados |
CDK Global: el ataque más impactante de BlackSuit
En junio de 2024, BlackSuit atacó CDK Global, proveedor de software de gestión para concesionarios de automóviles en EEUU y Canadá. CDK Global sirve a aproximadamente 15.000 concesionarios.
El ataque paralizó operaciones de venta, financiación y servicio en miles de concesionarios simultáneamente. Los concesionarios tuvieron que recurrir a procesos manuales (papel y bolígrafo) durante semanas. Según Bloomberg, CDK pagó un rescate de aproximadamente 25 millones USD.
Detección
Indicadores técnicos
| Indicador | Tipo | Descripción |
|---|---|---|
Extensión .royal | Archivo | Versión Royal |
Extensión .blacksuit | Archivo | Versión BlackSuit |
README.BlackSuit.txt | Nota | Nota de rescate BlackSuit |
Parámetros CLI -id, -ep, -path | Ejecución | Argumentos de configuración del locker |
| Tor URLs en nota | Texto | Portal de pago y chat |
| Shadow copy deletion | Comportamiento | vssadmin + bcdedit + wbadmin |
Reglas de detección prioritarias
- Callback phishing: monitorizar emails que invitan a llamar a números de teléfono no reconocidos con pretextos de suscripciones
- BATLOADER/Gootloader: detección de loaders distribuidos vía Google Ads
- Cobalt Strike beacon: detección de C2 traffic y named pipes
- Shadow copy deletion masiva: sysmon + commandline monitoring
- Cifrado parcial: patrón de lectura-escritura en bloques alternos en archivos grandes
La continuidad del legado Conti
Royal/BlackSuit es significativo no por su innovación (aporta poco nuevo al panorama técnico del ransomware) sino por lo que representa: la capacidad de un equipo experimentado de ransomware para sobrevivir a la disolución de su grupo original, rebranding y atención de law enforcement, y seguir operando años después. La experiencia acumulada en Conti (código, TTPs, conocimiento operativo) sigue generando valor criminal bajo una nueva marca.
Fuentes y referencias
- CISA. "#StopRansomware: Royal Ransomware." Advisory AA23-061A, March 2023.
- CISA. "#StopRansomware: Royal Ransomware Updated." Advisory AA23-061A (updated), November 2023.
- FBI. "Royal Ransomware Advisory." IC3, 2023.
- Trend Micro. "Royal Ransomware Analysis." Trend Micro Research, 2023.
- Microsoft Threat Intelligence. "DEV-0569: Royal Ransomware." Microsoft Security Blog, 2022.
- CrowdStrike. "Royal/BlackSuit Ransomware: Conti Connection." CrowdStrike Intelligence, 2023.
- Mandiant. "UNC3966/Royal Ransomware Analysis." Mandiant Intelligence, 2023.
- Sophos. "Royal Ransomware: Technical Analysis." SophosLabs, 2023.
- BleepingComputer. "CDK Global cyberattack linked to BlackSuit ransomware." June 2024.
- Bloomberg. "CDK Global Paid $25 Million Ransom to BlackSuit Hackers." July 2024.
- Red Canary. "2024 Threat Detection Report: Royal/BlackSuit." Red Canary, 2024.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Conti Leaks: El Dataset Educativo Más Valioso en la Historia del Ransomware
Cadena de Infección de Ransomware: Del Acceso Inicial al Cifrado
BlackCat/ALPHV: El Primer Ransomware Major Escrito en Rust
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
LockBit 3.0: Incident Response Completo de Principio a Fin
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.