Un tout nouvel opérateur de ransomware a été découvert actif dans la nature, et même s’il s’agit d’un nouvel entrant, il exige déjà des paiements de rançon importants.
Un nouveau rapport de BipOrdinateur en collaboration avec la société de renseignement sur la cybersécurité AdvIntel, a analysé les activités du groupe, son chiffreur et sa méthodologie.
Apparemment, le groupe est composé d’acteurs de rançongiciels expérimentés issus d’autres opérations. Ils ont uni leurs forces en janvier de cette année et ne fonctionnent pas comme un RaaS, mais plutôt comme un groupe privé avec des filiales. Au début, le groupe utilisait les chiffreurs d’autres criminels, à savoir BlackCat, mais s’est rapidement tourné vers des solutions propriétaires. Le premier crypteur de ce type s’appelle Zeon.
Commence par un hameçonnage
Plus tôt ce mois-ci, le groupe est passé de Zeon à Royal, en utilisant ce nom à la fois dans la note de rançon et comme extension de fichier pour les documents cryptés.
Le MO n’a rien d’extraordinaire : les attaquants enverraient d’abord un e-mail de phishing et exhorteraient les victimes à les rappeler. Lors de l’appel, les attaquants convaincraient les victimes d’installer un logiciel d’accès à distance et accorderaient aux attaquants l’accès au terminal. (s’ouvre dans un nouvel onglet). Après cela, les attaquants se répandraient sur le réseau, cartographieraient et exfiltreraient les données sensibles, et chiffreraient tous les appareils trouvés sur le réseau.
Les victimes trouveraient alors une note de rançon, README.TXT, dans laquelle elles obtiendraient un lien Tor où elles pourraient engager des négociations avec les attaquants. Apparemment, Royal demande entre 250 000 $ et 2 millions de dollars pour la clé de déchiffrement. Au cours des négociations, les attaquants déchiffraient quelques fichiers pour montrer que leur programme fonctionnait et montraient la liste des fichiers qu’ils publieraient sur Internet si les demandes n’étaient pas satisfaites.
Jusqu’à présent, aucune victime n’a payé pour la clé de déchiffrement, il est donc impossible de savoir à quel point le groupe réussit. Le site de la fuite de Royal n’a pas encore été trouvé.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)