Le groupe de ransomwares Royal a ciblé au moins 350 organisations dans le monde, avec des demandes de rançon dépassant 275 millions de dollars, et les cybercriminels pourraient se préparer à renommer leur opération, affirment l’agence américaine de cybersécurité CISA et le FBI dans une alerte mise à jour.
Actif depuis au moins septembre 2022, Royal a été utilisé dans des attaques contre des entités des secteurs des infrastructures critiques, de l’éducation, de la santé et de la fabrication, exigeant des rançons allant de 1 à 11 millions de dollars en Bitcoin.
En mars 2023, la CISA et le FBI ont émis une alerte sur l’opération de ransomware Royal, exhortant les organisations à mettre en œuvre les meilleures pratiques de sécurité pour protéger leurs environnements contre Royal et d’autres attaques de ransomware.
Lundi, les deux agences américaines ont mis à jour leur avis pour fournir des indicateurs supplémentaires de compromission (IoC) associés aux attaques Royal, et pour mettre à jour la liste des tactiques, techniques et procédures (TTP) observées.
La mise à jour met également en garde contre un changement de marque potentiel de l’opération, ou au moins un spin-off, soulignant que « le rançongiciel Blacksuit partage un certain nombre de caractéristiques de codage identifiées similaires à celles de Royal ».
Considéré comme étant exploité par un groupe privé, plutôt que par une opération de ransomware-as-a-service (RaaS), Royal s’appuie généralement sur le phishing pour l’accès initial.
D'Autres Articles en Lien
Le groupe a également été vu en train d’abuser du protocole de bureau à distance (RDP), d’exploiter les vulnérabilités des actifs Web et de tirer parti des courtiers d’accès initial pour accéder aux réseaux des victimes.
Après l’exploitation, les acteurs de la menace utilisent divers outils pour la persistance, le mouvement latéral, ainsi que la collecte et l’exfiltration de données. Avant de déployer un ransomware de cryptage de fichiers, ils suppriment également les clichés instantanés pour empêcher les victimes de restaurer leurs données.
La CISA et le FBI préviennent également que le gang Royal ransomware publie les données des victimes sur son site de fuite, si une rançon n’est pas payée.
« Les attaques de ransomware Royal se sont propagées dans de nombreux secteurs d’infrastructures critiques, notamment, mais sans s’y limiter, l’industrie manufacturière, les communications, la santé et la santé publique (HPH) et l’éducation. La CISA encourage les défenseurs des réseaux à examiner la CSA mise à jour et à appliquer les mesures d’atténuation incluses », note l’agence de cybersécurité.
En décembre de l’année dernière, Trend Micro a lié Royal au tristement célèbre groupe de ransomware Conti, affirmant qu’il s’agissait d’une version renommée du ransomware Zeon, qui avait été précédemment associée à l’un des groupes distribuant Conti.
En décembre également, le ministère américain de la Santé et des Services sociaux (HHS) a averti les établissements de santé des attaques du ransomware Royal.
