Le FBI et la CISA ont révélé dans un avis conjoint que le gang de ransomwares Royal avait violé les réseaux d’au moins 350 organisations dans le monde depuis septembre 2022.
Dans une mise à jour de l’avis original publié en mars avec des informations supplémentaires découvertes lors des enquêtes du FBI, les deux agences ont également noté que l’opération de ransomware est liée à plus de 275 millions de dollars de demandes de rançon.
« Depuis septembre 2022, Royal a ciblé plus de 350 victimes connues dans le monde et les demandes de ransomware ont dépassé 275 millions de dollars », indique l’avis.
« Royal procède à l’exfiltration et à l’extorsion de données avant le chiffrement, puis publie les données des victimes sur un site de fuite si une rançon n’est pas payée. Les e-mails de phishing sont parmi les vecteurs les plus efficaces d’accès initial par les acteurs de la menace royale. »
En mars, le FBI et la CISA ont partagé pour la première fois des indicateurs de compromission et une liste de tactiques, techniques et procédures (TTP) pour aider les défenseurs à détecter et à bloquer les tentatives de déploiement de charges utiles du ransomware Royal sur leurs réseaux.
L’avis conjoint a été publié après que l’équipe de sécurité du ministère de la Santé et des Services sociaux (HHS) a révélé en décembre 2022 que l’opération de ransomware était à l’origine de plusieurs attaques contre des organismes de santé américains.
Royal à BlackSuit ?
La mise à jour de l’avis indique également que Royal pourrait planifier une initiative de changement de marque et/ou une variante dérivée, le ransomware BlackSuit présentant plusieurs caractéristiques de codage partagées avec Royal.
Breachtrace a rapporté en juin que le gang Royal ransomware avait testé un nouveau chiffreur BlackSuit, qui partage de nombreuses similitudes avec le chiffreur habituel de l’opération.
Alors que l’on pensait que l’opération du ransomware Royal allait changer de nom depuis mai, lorsque l’opération du ransomware BlackSuit a fait surface, cela ne s’est jamais produit. Royal cible toujours activement les entreprises qui utilisent BlackSuit dans le cadre d’attaques limitées.
Étant donné que BlackSuit est une opération autonome, Royal envisage peut-être de lancer un sous-groupe axé sur certains types de victimes, car un changement de nom n’a plus de sens une fois que des similitudes ont été découvertes entre les deux chiffreurs.
« Je pense que nous verrons peut-être bientôt plus de choses comme Blacksuit. Mais jusqu’à présent, il semble que le nouveau chargeur et le nouveau casier Blacksuit aient été une expérience ratée », a déclaré Yelisey Bohuslavskiy, partenaire et responsable de la R&D chez RedSense, à Breachtrace .
Liens avec les gangs de cybercriminalité Conti
Royal Ransomware est une opération privée composée d’acteurs malveillants hautement qualifiés, connus pour avoir travaillé auparavant avec le tristement célèbre gang de cybercriminalité Conti.
Bien qu’elles aient été repérées pour la première fois en janvier 2022, leurs activités malveillantes n’ont fait que s’intensifier depuis septembre de la même année.
Alors qu’ils utilisaient initialement des chiffreurs de ransomwares provenant d’autres opérations comme ALPHV/BlackCat, probablement pour éviter d’attirer l’attention, le gang a depuis commencé à déployer ses propres outils.
Alors que leur premier chiffreur, Zeon, a abandonné les notes de rançon rappelant celles générées par Conti, ils sont passés au chiffreur Royal après avoir subi un changement de marque à la mi-septembre 2022. Plus récemment, le malware a été mis à niveau pour chiffrer les appareils Linux lors d’attaques ciblant VMware ESXi. machines virtuelles.
Même s’ils infiltrent généralement les réseaux des cibles en exploitant les failles de sécurité des appareils accessibles au public, les opérateurs Royal sont également connus pour leurs attaques de phishing par rappel.
Lors de ces attaques, lorsque les cibles composent les numéros de téléphone intégrés dans les e-mails intelligemment déguisés en renouvellements d’abonnement, les attaquants exploitent des tactiques d’ingénierie sociale pour inciter les victimes à installer un logiciel d’accès à distance, leur donnant ainsi accès au réseau ciblé.
Le mode opératoire des opérateurs de Royal consiste à chiffrer les systèmes d’entreprise de leurs cibles et à exiger des rançons substantielles allant de 250 000 dollars à des dizaines de millions par attaque.