» Alors que la plupart des opérateurs de ransomware connus ont exécuté des Ransomware-as-a-Service, Royal semble être un groupe privé sans aucune affiliation tout en maintenant la motivation financière comme objectif « , a déclaré le Centre de coordination de la cybersécurité du secteur de la santé (HC3) de l’agence [PDF].
« Le groupe prétend effectivement voler des données pour des attaques de double extorsion, où il exfiltrera également des données sensibles. »
Le ransomware Royal, selon Fortinet FortiGuard Labs, serait actif depuis au moins le début de l’année 2022. Le malware est un exécutable Windows 64 bits écrit en C++ et est lancé via la ligne de commande, ce qui indique qu’il implique un opérateur humain pour déclencher l’infection après avoir obtenu l’accès à un environnement ciblé.
Outre la suppression des copies d’ombre des volumes sur le système, Royal utilise la bibliothèque cryptographique OpenSSL pour chiffrer les fichiers selon la norme AES et les ajouter à l’extension « .royal ».
Le mois dernier, Microsoft a révélé qu’un groupe qu’il suit sous le nom de DEV-0569 a été observé en train de déployer la famille de ransomware par le biais de diverses méthodes.
Il s’agit notamment de liens malveillants transmis aux victimes par le biais de publicités malveillantes, de fausses pages de forum, de commentaires de blog ou d’e-mails de phishing menant à des fichiers d’installation malveillants pour des applications légitimes telles que Microsoft Teams ou Zoom.
Les fichiers sont connus pour abriter un téléchargeur de logiciels malveillants appelé BATLOADER, qui est ensuite utilisé pour transmettre une grande variété de charges utiles telles que Gozi, Vidar et BumbleBee, en plus d’abuser d’outils de gestion à distance authentiques comme Syncro pour déployer Cobalt Strike en vue d’un déploiement ultérieur de ransomware.
Bien qu’elle ne soit apparue que cette année, la bande de ransomware comprendrait des acteurs expérimentés issus d’autres opérations, ce qui témoigne de la nature toujours changeante du paysage des menaces.
« À l’origine, l’opération de ransomware utilisait l’encrypteur de BlackCat, mais a finalement commencé à utiliser Zeon, qui a généré une note de ransomware qui a été identifiée comme étant similaire à celle de Conti », a déclaré le HHS. « Cette note a ensuite été modifiée pour devenir Royal en septembre 2022 ».
L’agence a également noté que les attaques de ransomware Royal sur les soins de santé se sont principalement concentrées sur les organisations aux États-Unis, avec des demandes de paiement allant de 250 000 à 2 millions de dollars.
