Le gouvernement américain tire la sonnette d’alarme à propos de l’opération Royal ransomware, qui, selon lui, a ciblé de nombreux secteurs d’infrastructure critiques à travers les États-Unis.
Dans un avis conjoint publié jeudi, le FBI et l’agence américaine de cybersécurité CISA ont déclaré que le rançongiciel Royal avait fait de nombreuses victimes aux États-Unis et dans le monde, notamment des organisations de fabrication, de communication, d’éducation et de santé.
L’avertissement intervient après que le ministère américain de la Santé et des Services sociaux a averti en décembre que le rançongiciel Royal ciblait « agressivement » le secteur américain de la santé. Le site de fuites sur le Web sombre de Royal répertorie actuellement les services de santé du nord-ouest du Michigan et les consultants orthopédiques du Midwest parmi ses victimes.
Le gang Royal ransomware a été observé pour la première fois au début de 2022. À l’époque, l’opération reposait sur des ransomwares tiers, tels que Zeon, mais a depuis déployé son propre ransomware personnalisé dans des attaques depuis septembre.
Le gouvernement américain avertit qu’après avoir accédé aux réseaux des victimes – généralement via des liens de phishing contenant un téléchargeur de logiciels malveillants – les acteurs royaux « désactivent les logiciels antivirus et exfiltrent de grandes quantités de données » avant de déployer les systèmes de ransomware et de cryptage.
Les experts en sécurité estiment que Royal comprend des acteurs expérimentés des ransomwares issus d’opérations précédentes, notant des similitudes entre Royal et Conti, un groupe de piratage prolifique lié à la Russie qui s’est dissous en juin 2022.
En novembre 2022, le rançongiciel Royal a été signalé être l’opération de ransomware la plus prolifique, dépassant Lockbit. Des données récentes montrent que Royal était responsable d’au moins 19 attaques de ransomwares en février, derrière 51 attaques attribuées à LockBit et 22 attaques liées à Vice Society.
Bien que la plupart des victimes de Royal soient basées aux États-Unis, l’une de ses victimes les plus médiatisées était le circuit de Silverstone, l’un des plus grands circuits de course automobile du Royaume-Uni. Autres victimes revendiqué par le gang comprennent ICS, une organisation qui fournit des services de cybersécurité au département américain de la Défense, til Dallas School District et d’autres.
Selon l’avis du gouvernement américain, les demandes de rançon faites par Royal varient de 1 à 11 millions de dollars, mais on ne sait pas encore combien l’opération a rapporté à ses victimes. L’avis note que les acteurs royaux se livrent également à des tactiques de double extorsion, par lesquelles ils menacent de divulguer publiquement les données cryptées si la victime ne paie pas la rançon.
« Dans les incidents observés, les acteurs royaux n’incluent pas les montants de la rançon et les instructions de paiement dans la note de rançon initiale », ont averti la CISA et le FBI. « Au lieu de cela, la note, qui apparaît après le cryptage, oblige les victimes à interagir directement avec l’acteur de la menace via une URL .onion », faisant référence aux sites de Royal sur le dark web.
La CISA et le FBI ont publié des indicateurs de compromission connus du rançongiciel Royal et des opérations. tactiques, techniques et procédures, qu’ils disent ont été identifiés grâce aux activités de réponse aux menaces du FBI aussi récemment qu’en janvier 2023. Les agences ont conseillé aux organisations américaines d’appliquer des mesures d’atténuation et de signaler tout incident de ransomware. L’avis note que la CISA et le FBI dNe pas encourager le paiement de demandes de rançon.