La CISA et le FBI ont publié un avis conjoint soulignant la menace croissante derrière les attaques de rançongiciels Royal en cours ciblant de nombreux secteurs d’infrastructure critiques aux États-Unis, notamment les soins de santé, les communications et l’éducation.
Cela fait suite à un avis émis par le ministère de la Santé et des Services sociaux (HHS), dont l’équipe de sécurité a révélé en décembre 2022 que l’opération de rançongiciel avait été liée à de multiples attaques contre des organisations de santé américaines.
En réponse, le FBI et la CISA ont partagé des indicateurs de compromission et une liste de tactiques, techniques et procédures (TTP) liées, ce qui aiderait les défenseurs à détecter et à bloquer les tentatives de déploiement des charges utiles du rançongiciel Royal sur leurs réseaux.
« CISA encourage les défenseurs des réseaux à revoir le CSA et à appliquer les mesures d’atténuation incluses », a déclaré jeudi l’agence américaine de cybersécurité.
Les agences fédérales demandent à toutes les organisations risquant d’être ciblées de prendre des mesures concrètes pour se protéger contre la menace croissante des ransomwares.
Pour protéger les réseaux de leurs organisations, les administrateurs d’entreprise peuvent commencer par donner la priorité à la correction de toutes les vulnérabilités connues que les attaquants ont déjà exploitées.
Former les employés à repérer et à signaler efficacement les tentatives de phishing est également crucial. Les défenses de la cybersécurité peuvent encore être renforcées en activant et en appliquant l’authentification multifacteur (MFA), ce qui rend beaucoup plus difficile pour les attaquants d’accéder aux systèmes et aux données sensibles.
Les échantillons soumis à la plate-forme ID-Ransomware pour analyse montrent que le gang ciblant les entreprises a été de plus en plus actif à partir de fin janvier, montrant l’énorme impact de cette opération de ransomware sur ses victimes.
Demande de rapports d’incidents Royal
Même si le FBI affirme que le paiement de rançons encouragera probablement d’autres cybercriminels à se joindre aux attaques, les victimes sont invitées à signaler les incidents de ransomware Royal à leur bureau local du FBI ou à la CISA, qu’elles aient payé une rançon ou non.
Toute information supplémentaire aidera à collecter les données critiques nécessaires pour suivre l’activité du groupe de rançongiciels, aider à arrêter d’autres attaques ou tenir les attaquants responsables de leurs actions.
Royal Ransomware est une opération privée composée d’acteurs de la menace très expérimentés connus pour avoir déjà travaillé avec le célèbre gang de cybercriminalité Conti. Leurs activités malveillantes n’ont connu une augmentation d’activité que depuis septembre, bien qu’elles aient été détectées pour la première fois en janvier 2022.
Même s’ils ont initialement déployé des chiffreurs d’autres opérations comme BlackCat, ils sont depuis passés à l’utilisation des leurs.
Le premier était Zeon, qui a généré des notes de rançon similaires à celles utilisées par Conti, mais ils sont passés à un nouveau crypteur à la mi-septembre après avoir changé de marque en « Royal ».
Le logiciel malveillant a récemment été mis à niveau pour chiffrer les appareils Linux, ciblant spécifiquement les machines virtuelles VMware ESXi.
Les opérateurs royaux chiffrent les systèmes d’entreprise de leurs cibles et exigent de lourdes rançons allant de 250 000 $ à des dizaines de millions par attaque.
Cette opération de ransomware se démarque également de la foule en raison de ses tactiques d’ingénierie sociale pour tromper les entreprises victimes en installant un logiciel d’accès à distance dans le cadre d’attaques de phishing de rappel, où elles se font passer pour des fournisseurs de logiciels et des services de livraison de nourriture.
En outre, le groupe emploie une stratégie unique consistant à utiliser des comptes Twitter piratés pour envoyer aux journalistes des détails sur les cibles compromises, dans l’espoir d’attirer la couverture médiatique et d’ajouter une pression supplémentaire sur leurs victimes.
Ces tweets contiennent un lien vers des données divulguées, que le groupe aurait volées sur les réseaux des victimes avant de les chiffrer.