{"id":1707,"date":"2023-03-01T17:43:59","date_gmt":"2023-03-01T17:43:59","guid":{"rendered":"https:\/\/cycuri.com\/?p=1707"},"modified":"2023-03-03T17:46:39","modified_gmt":"2023-03-03T17:46:39","slug":"lagence-americaine-de-cybersecurite-sonne-lalarme-sur-les-capacites-mortelles-de-royal-ransomware","status":"publish","type":"post","link":"https:\/\/cycuri.com\/lagence-americaine-de-cybersecurite-sonne-lalarme-sur-les-capacites-mortelles-de-royal-ransomware\/","title":{"rendered":"L’agence am\u00e9ricaine de cybers\u00e9curit\u00e9 sonne l’alarme sur les capacit\u00e9s mortelles de Royal Ransomware"},"content":{"rendered":"
<\/div>\n

L’Agence am\u00e9ricaine pour la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 des infrastructures (CISA) a publi\u00e9<\/a> un nouvel avis sur le ran\u00e7ongiciel Royal , qui est apparu dans le paysage des menaces l’ann\u00e9e derni\u00e8re.<\/p>\n\n\n\n

\u00ab\u00a0Apr\u00e8s avoir eu acc\u00e8s aux r\u00e9seaux des victimes, les acteurs royaux d\u00e9sactivent les logiciels antivirus et exfiltrent de grandes quantit\u00e9s de donn\u00e9es avant de finalement d\u00e9ployer le ransomware et chiffrer les syst\u00e8mes\u00a0\u00bb, a d\u00e9clar\u00e9<\/a> CISA .<\/p>\n\n\n\n

Le programme de ran\u00e7ongiciel<\/a> personnalis\u00e9 , qui cible les organisations am\u00e9ricaines et internationales depuis septembre 2022, aurait \u00e9volu\u00e9 \u00e0 partir d’it\u00e9rations ant\u00e9rieures baptis\u00e9es Zeon.<\/p>\n\n\n\n

De plus, il serait exploit\u00e9 par des acteurs chevronn\u00e9s de la menace qui faisaient autrefois partie de Conti Team One, la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro a r\u00e9v\u00e9l\u00e9 en d\u00e9cembre 2022.<\/p>\n\n\n\n

Le groupe de ran\u00e7ongiciels utilise le phishing de rappel comme moyen de transmettre son ran\u00e7ongiciel aux victimes, une technique largement adopt\u00e9e par les groupes criminels qui se sont s\u00e9par\u00e9s de l’entreprise Conti l’ann\u00e9e derni\u00e8re apr\u00e8s sa fermeture.<\/p>\n\n\n\n

D’autres modes d’acc\u00e8s initial incluent le protocole de bureau \u00e0 distance (RDP), l’exploitation d’applications destin\u00e9es au public et via des courtiers d’acc\u00e8s initial (IAB).<\/p>\n\n\n\n

Les demandes de ran\u00e7on faites par Royal varient de 1 \u00e0 11 millions de dollars, les attaques ciblant divers secteurs critiques, notamment les communications, l’\u00e9ducation, la sant\u00e9 et la fabrication.<\/p>\n\n\n\n

\u00ab\u00a0Royal ransomware utilise une approche de chiffrement partiel unique qui permet \u00e0 l’auteur de la menace de choisir un pourcentage sp\u00e9cifique de donn\u00e9es dans un fichier \u00e0 chiffrer\u00a0\u00bb, a not\u00e9 la CISA. \u00ab\u00a0Cette approche permet \u00e0 l’acteur de r\u00e9duire le pourcentage de cryptage pour les fichiers plus volumineux, ce qui permet d’\u00e9chapper \u00e0 la d\u00e9tection.\u00a0\u00bb<\/p>\n\n\n\n

L’agence de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 que plusieurs serveurs de commande et de contr\u00f4le (C2) associ\u00e9s \u00e0 Qakbot ont \u00e9t\u00e9 utilis\u00e9s dans les intrusions de ransomware Royal, bien qu’il soit actuellement ind\u00e9termin\u00e9 si le logiciel malveillant repose exclusivement sur l’infrastructure Qakbot.<\/p>\n\n\n\n

Les intrusions se caract\u00e9risent \u00e9galement par l’utilisation de Cobalt Strike et de PsExec<\/a> pour le mouvement lat\u00e9ral, ainsi que par le recours au service Windows Volume Shadow Copy<\/a> pour supprimer les clich\u00e9s instantan\u00e9s afin d’emp\u00eacher la r\u00e9cup\u00e9ration du syst\u00e8me. Cobalt Strike est en outre r\u00e9utilis\u00e9 pour l’agr\u00e9gation et l’exfiltration de donn\u00e9es.<\/p>\n\n\n\n

Depuis f\u00e9vrier 2023, Royal ransomware est capable<\/a> de cibler \u00e0 la fois les environnements Windows et Linux. Il a \u00e9t\u00e9 li\u00e9<\/a> \u00e0 19 attaques au cours du seul mois de janvier 2023, le pla\u00e7ant derri\u00e8re LockBit, ALPHV et Vice Society.<\/p>\n","protected":false},"excerpt":{"rendered":"

L’Agence am\u00e9ricaine pour la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 des infrastructures (CISA) a publi\u00e9 un nouvel avis sur le ran\u00e7ongiciel Royal , qui est apparu dans le paysage des menaces l’ann\u00e9e derni\u00e8re. \u00ab\u00a0Apr\u00e8s avoir eu acc\u00e8s aux r\u00e9seaux des victimes, les acteurs royaux d\u00e9sactivent les logiciels antivirus et exfiltrent de grandes quantit\u00e9s de donn\u00e9es avant de […]<\/p>\n","protected":false},"author":1,"featured_media":1708,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[48,55],"tags":[49,96,97],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1707"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1707"}],"version-history":[{"count":3,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1707\/revisions"}],"predecessor-version":[{"id":1712,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1707\/revisions\/1712"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1708"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}