Barracuda full logo

Ransomware Royal : un acteur de la menace que vous devez connaître

Thèmes:
13 févr. 2024
|
Christine Barry

L’écosystème des ransomwares est en constante évolution. Les outils disponibles se développent en permanence, les acteurs de ransomwares passent d’un groupe à l’autre, des groupes de menaces disparaissent et changent de nom pour échapper aux autorités, aux sanctions ou en raison de règles internes. Aujourd’hui, nous nous intéressons au ransomware Royal, également le nom du groupe qui a attaqué la ville de Dallas en mai 2023.

Qu’est-ce que le ransomware Royal ?

Royal Ransomware (Royal, Royal Hacking Group) est un groupe de cybercriminels relativement nouveau qui a gagné beaucoup d’argent sur le dos d’organisations de soins de santé, d’entreprises privées et d’administrations locales. Royal menait initialement ses activités sous le nom de Zeon lorsqu’il a été découvert en 2022, suite à quoi il a été rebaptisé Royal en septembre de la même année. Le Centre de coordination de la cybersécurité du secteur de la santé (HC3) a publié une note d’analyse décrivant Royal comme une menace pour le secteur des soins de santé et la santé publique (HPH) en décembre. En mars 2023, le Federal Bureau of Investigation (FBI) et l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont publié un avis conjoint exhaustif sur la cybersécurité (CSA) #StopRansomware: Royal Ransomware détaillant les menaces posées par ce groupe. 

Les premiers éléments indiquent que les membres de Royal Ransomware sont des cybercriminels expérimentés qui se sont séparés de Conti et d’autres groupes de ransomware. Les premières attaques visaient des organisations de santé aux États-Unis, mais se sont rapidement étendues à d’autres secteurs et à des cibles internationales. Les demandes de rançon vont de 250 000 $ à plus de 2 millions de dollars. De septembre 2022 à novembre 2023, Royal a ciblé plus de 350 victimes connues dans le monde entier pour un montant de rançon demandé qui dépasse les 275 millions de dollars.

Attaques notables

L’attaque de Royal la plus connue est sans doute celle contre la ville de Dallas au Texas, qui a été victime du groupe en mai 2023. La ville a publié un rapport détaillé qui identifie les pirates comme étant le Royal Hacking Group et détaille les activités du groupe dans les systèmes municipaux. Le rapport présente également des détails sur les coûts de l’atténuation directe, qui s’élevaient à 8,5 millions de dollars au moment de la rédaction du rapport. Les heures de travail consacrées à l’atténuation globale étaient de 39 590 au même moment.

Silverstone Formula One (Silverstone, Silverstone Circuit) a subi une attaque de Royal fin 2022.  Silverstone l’a découvert lorsque Royal a publié cette annonce sur son site de leaks : 

 

 

Caractéristiques et méthodes d’intrusion

Chiffrement partiel : le ransomware Royal utilise une approche unique qui lui permet de choisir un pourcentage déterminé de données à chiffrer dans un fichier. Le déchiffrement des fichiers devient alors très difficile, voire impossible, sans la clé de déchiffrement détenue par les pirates.

Double extorsion : avant de chiffrer les données de la victime, Royal procède à des exfiltrations et à des extorsions de données, menaçant de les publier si ses demandes ne sont pas satisfaites.

Indicateurs de compromission (IOC) : certains IOC associés au ransomware Royal incluent l’extension de fichier chiffré « .royal », le fichier de notes de rançon intitulé « README.TXT » et diverses adresses IP malveillantes.

La liste suivante des méthodes d’intrusion est issue de l’avis de la CISA sur Royal :

  • Phishing : les e-mails de phishing sont l’un des principaux vecteurs de l’accès initial de Royal, dont un pourcentage significatif de 66 % est obtenu par cette méthode. Ils utilisent à la fois le phishing standard et le callback phishing pour tromper les victimes.
  • Protocole de bureau à distance (RDP) : la compromission du protocole RDP a été le point d’accès initial dans environ 13,3 % des incidents.  C’est le deuxième type d’attaque le plus efficace de Royal.
  • Applications destinées au public : le FBI a également observé que les acteurs de la menace Royal obtiennent un premier accès en exploitant des applications destinées au public.
  • Brokers : des rapports provenant de sources de confiance tierces indiquent que les acteurs de la menace Royal peuvent utiliser des brokers pour obtenir un accès initial et générer du trafic en récoltant des informations d’identification de réseau privé virtuel (VPN) à partir de stealer logs. 

Relation avec d’autres menaces

Conti : les acteurs de Royal semblent être d’anciens membres du groupe de ransomware Conti, qui aurait été dissous en mai 2022.

BlackSuit : le ransomware BlackSuit serait « un successeur direct de la célèbre opération Conti, liée à la Russie ». Les chercheurs ont observé que Royal utilisait le chiffreur BlackSuit, et l’on soupçonne qu’il serait le nouveau nom de BlackSuit ou d’un autre groupe. Certains chercheurs pensent que BlackSuit est une expérience de Royal et que celui-ci pourrait être utilisé par Royal par le biais d’un sous-groupe ayant des cibles spécifiques. Au moment où ces lignes sont écrites, Royal et BlackSuit sont des menaces actives.

Storm-0569 (anciennement Dev-0569) : ce groupe de menaces est un acteur clé en tant que développeur et distributeur du ransomware Royal. Il est connu pour ses techniques de déploiement innovantes, par exemple des campagnes Google Ads malveillantes.

Conclusion

Royal est le produit d’une industrie des ransomwares en pleine maturité. À mesure que les acteurs de ransomwares acquièrent de l’expérience, ils se tournent vers de nouvelles opportunités et emportent leurs connaissances avec eux. Les groupes peuvent se dissoudre ou se diviser, mais la menace ne disparaît pas. Certains acteurs individuels sont arrêtés, mais ceux qui restent forment de nouveaux groupes et deviennent des menaces efficaces dès le premier jour.

Pour les ransomwares, il existe de nombreuses façons de s’introduire dans vos systèmes. La meilleure manière d’envisager votre défense est de penser les choses sous forme de vecteurs de menace. Vous ne serez jamais entièrement en sécurité si vous examinez uniquement des points d’entrée particuliers comme ceux indiqués ci-dessus. Tirez parti des renseignements avancés sur les menaces avec des capacités de réponse aux incidents pour protéger toutes vos surfaces d’attaque. Barracuda propose une plateforme de cybersécurité dotée de fonctionnalités avancées pour sécuriser vos e-mails, vos réseaux, vos applications et vos données. Visitez notre site web pour découvrir notre plateforme complète de cybersécurité et élaborer votre propre plan de protection contre les ransomwares.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Prédictions des cybermenaces pour 2025 émanant des experts en sécurité de première ligne de Barracuda
Prédictions des cybermenaces pour 2025 émanant des experts en sécurité de première ligne de Barracuda
 Les dossiers du SOC : le logiciel rançonneur Play cible une entreprise manufacturière
Les dossiers du SOC : le logiciel rançonneur Play cible une entreprise manufacturière
Ransomware BlackSuit : 8 ans, 6 noms, 1 syndicat de cybercriminalité
Ransomware BlackSuit : 8 ans, 6 noms, 1 syndicat de cybercriminalité
 L'amende massive infligée à Clearview AI pour violation du RGPD, et ce que cela signifie
L'amende massive infligée à Clearview AI pour violation du RGPD, et ce que cela signifie
Rechercher dans le blog Barracuda

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.