[États-Unis] Alerte rançongiciel Royal Ransomware

Depuis septembre 2022, un nouveau variant du rançongiciel Royal est utilisé. Ce rançongiciel possède son propre algorithme de chiffrement. Il permet aux acteurs de chiffrer un certain pourcentage de données par fichier, permettant ainsi d’augmenter la furtivité du rançongiciel. 

Selon le rapport du CISA, le Phishing est la méthode de compromission la plus fréquemment utilisée par le groupe. En effet, deux tiers des premières infections proviennent de mails contenant un document PDF forgé ou de fausses publicités visant à la diffusion de logiciels malveillants (Malvertising). D’autres méthodes de compromission sont basées sur l’utilisation d’anciennes sessions de contrôle à distance (RDP), l’exploitation de failles dans des applications exposées sur internet ou encore l’utilisation d’identifiants piratés.

Une fois infiltrés sur le réseau, les attaquants communiquent avec des serveurs C2 (Command and Control) afin de télécharger leurs outils. Des utilitaires Windows légitimes ainsi que des logiciels en sources ouvertes sont exploités par le groupe afin de mener l’attaque. La communication avec les serveurs C2 est généralement assurée grâce à Chisel, un outil de communication via HTTP et SSH.

Par la suite, les attaquants effectuent un mouvement latéral grâce à des outils tels que RDP ou le logiciel PsExec. Le FBI a également constaté l’utilisation d’outils de gestion à distance (RMM), comme AnyDesk, LogMeln et Atera, pour maintenir l’accès au réseau de la victime.

Les données sont enfin exfiltrées via des outils légitimes de tests d’intrusion, comme Cobalt Strike, ainsi que des maliciels tels que Ursnif/Gozi. D’après le rapport, l’exfiltration se fait souvent vers une IP située aux États-Unis.

Le bulletin contient un ensemble d’Indicateurs de Compromissions (IoC) pouvant aider à la détection de ce rançongiciel. 

L’ANS met à disposition des organisations de santé une fiche réflexe de gestion préventive du risque représenté par les rançongiciels.