Le FBI, la CISA et le HHS mettent en garde contre les attaques des gangs de ransomwares royaux
Le FBI et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) ont lancé une mise en garde contre un nouveau gang de ransomwares connu sous le nom de Royal ransomware. Le ransomware est un type de logiciel malveillant qui crypte les fichiers informatiques d'une victime et exige un paiement pour les déverrouiller. Le ransomware Royal fonctionne de la même manière.
Cet avertissement fait suite à un précédent avertissement du ministère de la santé et des services sociaux, qui a déclaré que les attaques de ransomware par des humains ciblaient fortement le secteur des soins de santé, après une augmentation de trois mois du taux d'attaques et des demandes de rançon allant jusqu'à 2 millions de dollars.
Pour infecter l'ordinateur avec un ransomware, les attaquants envoient des courriels de spear-phishing ou exploitent les vulnérabilités du système de la victime. Après avoir infecté le système, le ransomware crypte les fichiers, les rendant inaccessibles.
Les attaquants exigent ensuite un paiement en échange d'une clé de décryptage qui leur permettra de récupérer l'accès. Les demandes en bitcoins les plus récentes varient entre 1 et 11 millions de dollars. Cependant, les acteurs de la menace royale n'incluent pas les rançons dans la note de rançon initiale. Les victimes doivent alors interagir avec les acteurs via une URL .onion.
Royal a demandé des rançons en bitcoins allant de 1 à 11 millions de dollars. Toutefois, l'avertissement précise que le groupe n'inclut pas les montants des rançons et les instructions de paiement dans ses notes de rançon initiales. Au lieu de cela, la note de rançon demande aux victimes de contacter directement un membre de Royal par le biais d'une URL sécurisée accessible via le navigateur crypté Tor.
Selon le FBI et la CISA, Royal renforce ses opérations et élargit son champ d'action au-delà des fournisseurs de soins de santé, les secteurs de la fabrication, de l'éducation et des communications étant tous soupçonnés d'être des cibles supplémentaires. Depuis septembre de l'année dernière, les cybercriminels utilisent une variante du ransomware Royal pour infiltrer des organisations à travers les États-Unis, dont un grand nombre de prestataires de soins de santé.
Les tactiques de Royal sont similaires à celles d'autres types de ransomware. Avant de déployer le ransomware, les acteurs désactivent les logiciels antivirus et exfiltrent de grandes quantités de données du réseau. Les données sont volées "en réaffectant des outils légitimes de cyber-test comme Cobalt Strike, ainsi que des outils malveillants et des dérivés comme Ursnif/Gozi".
Les membres de Royal désactivent les logiciels antivirus après avoir accédé au réseau d'une organisation. Selon le FBI et la CISA, les cybercriminels "exfiltrent ensuite de grandes quantités de données" avant de déployer un ransomware et de chiffrer les systèmes de leurs victimes. La majorité des attaques utilisent des courriels d'hameçonnage contenant des documents PDF malveillants comme principale méthode d'accès. La compromission du protocole de bureau à distance (RDP) est le deuxième vecteur d'attaque le plus courant, suivi de l'exploitation d'applications publiques et de l'utilisation de courtiers pour obtenir un accès initial et du trafic source pour collecter des informations d'identification de réseaux privés virtuels (VPN).
Une fois l'accès obtenu, les membres de Royal utilisent des logiciels Windows légitimes réaffectés pour renforcer leur présence sur le réseau. Les chercheurs ont également observé que le groupe utilisait des projets open-source, tels que Chisel, un outil de tunnelisation, pour faciliter les activités d'intrusion.
Les sources de cet article comprennent un article de SCMagazine.