La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a libéré un nouvel avis sur Royal ransomware, qui est apparu dans le paysage des menaces l’année dernière.
« Après avoir eu accès aux réseaux des victimes, les acteurs royaux désactivent les logiciels antivirus et exfiltrent de grandes quantités de données avant de finalement déployer le ransomware et chiffrer les systèmes », CISA a dit.
La douane programme rançongicielqui cible les organisations américaines et internationales depuis septembre 2022, aurait évolué à partir d’itérations antérieures surnommées Zeon.
De plus, il serait exploité par des acteurs chevronnés de la menace qui faisaient autrefois partie de Conti Team One, la société de cybersécurité Trend Micro a révélé en décembre 2022.
Le groupe de rançongiciels utilise le phishing de rappel comme moyen de transmettre son rançongiciel aux victimes, une technique largement adoptée par les groupes criminels qui se sont séparés de l’entreprise Conti l’année dernière après sa fermeture.
D’autres modes d’accès initial incluent le protocole de bureau à distance (RDP), l’exploitation d’applications destinées au public et via des courtiers d’accès initial (IAB).
Les demandes de rançon faites par Royal varient de 1 à 11 millions de dollars, les attaques ciblant divers secteurs critiques, notamment les communications, l’éducation, la santé et la fabrication.
« Royal ransomware utilise une approche de chiffrement partiel unique qui permet à l’auteur de la menace de choisir un pourcentage spécifique de données dans un fichier à chiffrer », a noté la CISA. « Cette approche permet à l’acteur de réduire le pourcentage de chiffrement pour les fichiers plus volumineux, ce qui permet d’échapper à la détection. »
L’agence de cybersécurité a déclaré que plusieurs serveurs de commande et de contrôle (C2) associés à Qakbot ont été utilisés dans les intrusions de ransomware Royal, bien qu’il soit actuellement indéterminé si le logiciel malveillant repose exclusivement sur l’infrastructure Qakbot.
Les intrusions sont également caractérisées par l’utilisation de Cobalt Strike et PsExec pour les mouvements latéraux ainsi que la suppression des clichés instantanés pour empêcher la récupération du système. Cobalt Strike est également réutilisé pour l’agrégation et l’exfiltration de données.
Depuis février 2023, Royal ransomware est capable de cibler à la fois les environnements Windows et Linux. Il a été lié à 19 attaques au cours du seul mois de janvier 2023, le plaçant derrière LockBit, ALPHV et Vice Society.