Quelques mois après une première alerte de Microsoft, deux administrations américaines mettent en garde contre les attaques menées par les opérateurs du rançongiciel Royal. Dans un avis publié jeudi, le FBI et l’agence de cybersécurité américaine (Cybersecurity and Infrastructure Security Agency, CISA) s’inquiètent en effet du ciblage d’infrastructures critiques par ces cybercriminels, que ce soit les secteurs de la production, de la santé, des communications ou encore de l’enseignement.
Malicious cyber actors access victims’ networks, disable anti-virus software, and exfiltrate data before dropping Royal ransomware and encrypting systems. Since September 2022, cybercriminals have demanded ransoms of up to $11 million. Learn more at: https://t.co/8m1xJ7guU7 pic.twitter.com/WPqSaC12ly
— FBI (@FBI) March 3, 2023
Aux Etats-Unis, le gang a ainsi visé récemment la télévision publique de l’Iowa, des hôpitaux américains ou encore le circuit de formule 1 anglais de Silverstone. Moins connu que LockBit, le fournisseur de services de rançongiciels le plus actif du moment, le gang Royal serait dirigé par d’anciens membres du groupe Conti, une franchise mafieuse cybercriminelle qui avait explosé après l’invasion de l’Ukraine par la Russie, estiment plusieurs experts du secteur.
Actif depuis l’an passé
Mais Royal s’est tout de même classé à la troisième marche des organisations criminelles les plus actives au quatrième trimestre 2022, selon le décompte de Trend Micro. Repéré pour la première fois en janvier 2022, Royal déployait au départ le chiffreur du groupe BlackCat avant d’utiliser son propre programme.
Assez classiquement, le gang tente de chiffrer de larges parties du système d’information de ses victimes après avoir volé des données. Pour aller plus vite et ne pas se faire repérer, le gang a opté pour un chiffrement partiel des données. Avec à la clé des demandes de rançon conséquentes, de 1 à 11 millions de dollars ces derniers mois, remarquent le FBI et la CISA.
Google Ads
Les méthodes de ce groupe privé, qui n’est pas ouvert à des affiliés selon Bleeping Computer, avait déjà attiré l’attention des experts du secteur. Ce gang innovant avait par exemple utilisé le service Google Ads dans ses attaques, selon Microsoft. Le gang s’appuyait sur de fausses publicités pour diffuser un cheval de Troie permettant le déploiement ultérieur de son rançongiciel.
Pour faire face à ce nouveau groupe de cybercriminels, le FBI et la CISA recommandent de disposer de sauvegardes séparées, d’avoir de bonnes règles d’hygiène numérique, ou encore de mettre en place une authentification à plusieurs facteurs.