Le 6 mars 2023, l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié un nouvel avertissement sur le ransomware Royal, apparu dans le paysage des menaces l’année dernière.
D’après la CISA, après avoir accédé aux réseaux des victimes, les pirates de Royal désactivent les logiciels antivirus et exfiltrent de grandes quantités de données avant de déployer le ransomware et de crypter les systèmes.
Le programme de rançongiciel sur mesure, qui cible des organisations américaines et internationales depuis septembre 2022, est considéré comme une évolution d’itérations antérieures appelées Zeon.
De plus, il est exploité par des acteurs de menace expérimentés qui faisaient partie de l’équipe Conti Team One, a révélé l’entreprise de cybersécurité Trend Micro en décembre 2022.
Le groupe de ransomware utilise la technique du « call back phishing » pour livrer leur ransomware aux victimes, une méthode largement adoptée par les groupes criminels ayant émergé de l’entreprise Conti après sa fermeture.
D’autres modes d’accès initial incluent le protocole de bureau à distance (RDP), l’exploitation d’applications accessibles au public et via des courtiers d’accès initiaux (IAB).
Les demandes de rançon de Royal varient de 1 million à 11 millions de dollars, les attaques visant une variété de secteurs critiques, notamment les communications, l’éducation, les soins de santé et la fabrication.
« Le ransomware Royal utilise une approche de chiffrement partiel unique qui permet à l’acteur de menace de choisir un pourcentage spécifique de données dans un fichier à crypter », a noté la CISA. « Cette approche permet à l’acteur de baisser le pourcentage de chiffrement pour les fichiers plus volumineux, ce qui aide à éviter la détection. »
L’agence de cybersécurité a déclaré que plusieurs serveurs de commande et de contrôle (C2) associés à Qakbot ont été utilisés dans les intrusions de Royal ransomware, bien qu’il ne soit pas encore déterminé si le malware repose exclusivement sur l’infrastructure de Qakbot.
Les intrusions sont également caractérisées par l’utilisation de Cobalt Strike et PsExec pour la propagation latérale, ainsi que par la suppression des copies d’ombre des volumes Windows pour empêcher la récupération du système. Cobalt Strike est en outre réutilisé pour l’agrégation et l’exfiltration des données.
Au mois de janvier 2023, le ransomware Royal a été lié à 19 attaques, le plaçant derrière LockBit, ALPHV et Vice Society.
