03 mars 2023Ravie LakshmananSécurité des terminaux / Ransomware

Logiciel De Rançon Royal

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a libéré un nouvel avis sur Royal ransomware, qui est apparu dans le paysage des menaces l’année dernière.

« Après avoir eu accès aux réseaux des victimes, les acteurs royaux désactivent les logiciels antivirus et exfiltrent de grandes quantités de données avant de finalement déployer le ransomware et chiffrer les systèmes », CISA a dit.

La douane programme rançongicielqui cible les organisations américaines et internationales depuis septembre 2022, aurait évolué à partir d’itérations antérieures surnommées Zeon.

De plus, il serait exploité par des acteurs chevronnés de la menace qui faisaient autrefois partie de Conti Team One, la société de cybersécurité Trend Micro a révélé en décembre 2022.

Publicité

Le groupe de rançongiciels utilise le phishing de rappel comme moyen de transmettre son rançongiciel aux victimes, une technique largement adoptée par les groupes criminels qui se sont séparés de l’entreprise Conti l’année dernière après sa fermeture.

D’autres modes d’accès initial incluent le protocole de bureau à distance (RDP), l’exploitation d’applications destinées au public et via des courtiers d’accès initial (IAB).

Les demandes de rançon faites par Royal varient de 1 à 11 millions de dollars, les attaques ciblant divers secteurs critiques, notamment les communications, l’éducation, la santé et la fabrication.

« Royal ransomware utilise une approche de chiffrement partiel unique qui permet à l’auteur de la menace de choisir un pourcentage spécifique de données dans un fichier à chiffrer », a noté la CISA. « Cette approche permet à l’acteur de réduire le pourcentage de chiffrement pour les fichiers plus volumineux, ce qui permet d’échapper à la détection. »

L’agence de cybersécurité a déclaré que plusieurs serveurs de commande et de contrôle (C2) associés à Qakbot ont été utilisés dans les intrusions de ransomware Royal, bien qu’il soit actuellement indéterminé si le logiciel malveillant repose exclusivement sur l’infrastructure Qakbot.

Les intrusions sont également caractérisées par l’utilisation de Cobalt Strike et PsExec pour les mouvements latéraux ainsi que la suppression des clichés instantanés pour empêcher la récupération du système. Cobalt Strike est également réutilisé pour l’agrégation et l’exfiltration de données.

Depuis février 2023, Royal ransomware est capable de cibler à la fois les environnements Windows et Linux. Il a été lié à 19 attaques au cours du seul mois de janvier 2023, le plaçant derrière LockBit, ALPHV et Vice Society.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLa police a appelé les parents lors d’une réunion animée pour la tour T-Mobile à l’école primaire de Wyandotte
Article suivantAll rise – audiences du tribunal dans le métaverse
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici