L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié un nouvel avis sur le rançongiciel Royal , qui est apparu dans le paysage des menaces l’année dernière.
« Après avoir eu accès aux réseaux des victimes, les acteurs royaux désactivent les logiciels antivirus et exfiltrent de grandes quantités de données avant de finalement déployer le ransomware et chiffrer les systèmes », a déclaré CISA .
Le programme de rançongiciel personnalisé , qui cible les organisations américaines et internationales depuis septembre 2022, aurait évolué à partir d’itérations antérieures baptisées Zeon.
De plus, il serait exploité par des acteurs chevronnés de la menace qui faisaient autrefois partie de Conti Team One, la société de cybersécurité Trend Micro a révélé en décembre 2022.
Le groupe de rançongiciels utilise le phishing de rappel comme moyen de transmettre son rançongiciel aux victimes, une technique largement adoptée par les groupes criminels qui se sont séparés de l’entreprise Conti l’année dernière après sa fermeture.
D’autres modes d’accès initial incluent le protocole de bureau à distance (RDP), l’exploitation d’applications destinées au public et via des courtiers d’accès initial (IAB).
Les demandes de rançon faites par Royal varient de 1 à 11 millions de dollars, les attaques ciblant divers secteurs critiques, notamment les communications, l’éducation, la santé et la fabrication.
« Royal ransomware utilise une approche de chiffrement partiel unique qui permet à l’auteur de la menace de choisir un pourcentage spécifique de données dans un fichier à chiffrer », a noté la CISA. « Cette approche permet à l’acteur de réduire le pourcentage de cryptage pour les fichiers plus volumineux, ce qui permet d’échapper à la détection. »
L’agence de cybersécurité a déclaré que plusieurs serveurs de commande et de contrôle (C2) associés à Qakbot ont été utilisés dans les intrusions de ransomware Royal, bien qu’il soit actuellement indéterminé si le logiciel malveillant repose exclusivement sur l’infrastructure Qakbot.
Les intrusions se caractérisent également par l’utilisation de Cobalt Strike et de PsExec pour le mouvement latéral, ainsi que par le recours au service Windows Volume Shadow Copy pour supprimer les clichés instantanés afin d’empêcher la récupération du système. Cobalt Strike est en outre réutilisé pour l’agrégation et l’exfiltration de données.
Depuis février 2023, Royal ransomware est capable de cibler à la fois les environnements Windows et Linux. Il a été lié à 19 attaques au cours du seul mois de janvier 2023, le plaçant derrière LockBit, ALPHV et Vice Society.
