Le gang Royal ransomware a commencé à tester un nouveau chiffreur appelé BlackSuit qui partage de nombreuses similitudes avec le chiffreur habituel de l’opération.
Royal a été lancé en janvier 2023, considéré comme le successeur direct de la tristement célèbre opération Conti, qui a été fermée en juin 2022.
Ce groupe est une opération de ransomware privée composée de pentesters, d’affiliés de « Conti Team 1 » et d’affiliés qu’ils ont recrutés parmi d’autres gangs de ransomware ciblant les entreprises.
Depuis son lancement, Royal Ransomware est devenu l’une des opérations les plus actives, responsable de nombreuses attaques contre l’entreprise.
Royal commence à tester BlackSuit
Depuis fin avril, il y a eu des rumeurs selon lesquelles l’opération Royal ransomware s’apprêtait à changer de nom sous un nouveau nom. Cela s’est encore aggravé après qu’ils aient commencé à ressentir la pression des forces de l’ordre après avoir attaqué la ville de Dallas, au Texas.
Une nouvelle opération de ransomware BlackSuit a été découverte en mai qui utilisait son propre crypteur de marque et ses sites de négociation Tor. On pensait qu’il s’agissait de l’opération de ransomware dans laquelle le groupe Royal ransomware allait se rebaptiser.
Cependant, un changement de marque n’a jamais eu lieu et Royal attaque toujours activement l’entreprise tout en utilisant BlackSuit dans des attaques limitées.
« Royal : l’héritier direct de Conti, composé de plus de 60 pentesters issus de la « vieille garde » de Conti ou recrutés dans divers groupes d’élite de ransomwares. Opérant en petites équipes de 4 à 5 personnes, ils restent fidèles à leurs dirigeants : l’administrateur et l’ingénieur en chef. « , a déclaré Yelisey Bohuslavskiy, partenaire et responsable de la R&D chez RedSense, sur LinkedIn.
« Le groupe utilise des casiers Royal et BlackSuit, avec Emotet et IcedID comme précurseurs. Ils privilégient les alternatives à CobaltStrike, en particulier Sliver, et développent des chargeurs de précurseurs personnalisés. »
Bohuslavskiy a en outre déclaré à Breachtrace qu’il était possible que Royal teste simplement un nouveau chiffreur, comme ils l’ont été avec d’autres outils utilisés par le groupe, notamment un nouveau chargeur, IcedID, et une revitalisation d’Emotet.
« Ils continuent d’améliorer Emoted pour essayer de le revitaliser, et travaillent beaucoup sur IcedID. Leurs expériences avec de nouveaux casiers sont naturelles dans ce sens. » a expliqué Bohuslavskiy.
« Je pense que nous verrons bientôt plus de choses comme le costume noir. Mais jusqu’à présent, il semble que le nouveau chargeur et le nouveau casier Blacksuit aient été une expérience ratée. »
Comme BlackSuit est une opération autonome, il est possible que Royal envisage de lancer un sous-groupe axé sur certains types de victimes, ou qu’il soit enregistré pour un changement de marque plus tard.
Cependant, un changement de marque n’aurait plus de sens, car un récent rapport de Trend Micro a montré des similitudes claires entre les chiffreurs BlackSuit et Royal Ransomware, ce qui rend difficile de convaincre quiconque qu’il s’agit d’une nouvelle opération de ransomware.
Ces similitudes incluent des arguments de ligne de commande, des similitudes de code, des exclusions de fichiers et des techniques de chiffrement intermittent similaires.
Bien qu’il ne soit pas clair comment BlackSuit sera utilisé, le ransomware est activement utilisé dans un petit nombre d’attaques.
Breachtrace est au courant d’au moins trois attaques où le crypteur BlackSuit a été utilisé, avec des rançons, jusqu’à présent, inférieures à 1 million de dollars.
Actuellement, l’opération a une victime répertoriée sur son site de fuite de données, mais cela pourrait changer rapidement si le nouveau chiffreur était plus utilisé.
À ce moment, nous devrons attendre et voir si BlackSuit est, en fait, une expérience ratée ou le début d’un nouveau sous-groupe comme Conti avait avec Diavol.
Quoi qu’il en soit, les défenseurs du réseau doivent savoir que cette nouvelle opération est soutenue par Royal, qui a prouvé son expertise dans la violation des réseaux ou le déploiement de leurs chiffreurs.