Échec et Mat pour les pirates du groupe Royal ?

Les pirates informatiques du groupe Royal, dont la dernière apparition date de la mi-juin, ont totalement disparu de la circulation.

Avec plus de 200 entreprises malmenées et des centaines de milliers de données diffusées en France, au Canada, en Côte d’Ivoire, etc., le groupe pirate Royal est devenu l’une des plaies du web, se hissant dans le top 10 des amateurs de ransomwares les plus virulents. Les trois adresses du groupe Royal sur le darkweb ne répondent plus. « Le site onion est introuvable. La cause la plus probable est que le site onion est hors ligne« , indique le navigateur des visiteurs. Il reste un accès au groupe qui affiche comme logo une pièce d’échiquier, le Roi. Un formulaire de contact vide de réponse pour les utilisateurs qui souhaitent contacte les maîtres chanteurs.

Royal, a plus de 200 victimes affichées. Il s’était attaqué, ces dernières semaines, aux villes de Dallas (USA) ou de Lille (France), à une dizaine d’importantes écoles américaines, dont plusieurs dans le Montana, ainsi qu’au Morris Hospital, ou encore à une importante agence d’intérim française.

On ne peut que se réjouir de la disparition d’un groupe de pirates, mais que s’est-il véritablement passé et, surtout, où sont les millions de documents qu’ils ont pu exfiltrer durant leurs malveillances informatiques ?

Royal a exploité massivement une faille de sécurité critique qui affectait les systèmes Citrix. Cette vulnérabilité, identifiée sous le nom de CVE-2022-27510, avait été annoncée en novembre 2022. Elle permettait de contourner les mesures d’authentification de deux produits de la société Citrix : l’Application Delivery Controller (ADC) et le Gateway. Le groupe est devenu très actif également via des campagnes publicitaires Google Ads piégées.

Royal utilisait aussi une technique exploitée par Sodinokibi en son temps. Il créait de faux forums dans des blogs infiltrés. Les messages dans les « forums » proposaient de télécharger des documents universitaires liés, dans les cas repérés, aux banques. De forts soupçons relient Royal à d’anciens membres du groupe Conti, équipe de malveillants regroupant des Russes et des Ukrainiens, dissoute après l’invasion russe en Ukraine.

Les experts de Palo Alto Unit42 ont remarqué que le nouveau ransomware Linux BlackSuit présentait des similarités significatives avec Royal. Cela pourrait aussi laissé penser que le groupe s’est dissout pour changer de marque, de groupe, Etc.

Royal exigeait des rançons atteignant plusieurs millions de dollars. Écrit en C++, il infectait les systèmes Windows et supprimait toutes les possibilités de récupération des données. Le ransomware chiffrait les partages réseau et les lecteurs locaux avec l’algorithme AES.

Détail intéressant, au début du mois de mars, le Federal Bureau of Investigation (FBI) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) publiait conjointement un avis de cybersécurité (CSA) pour fournir aux organisations les tactiques, les techniques, les procédures (TTP) et les indicateurs de compromission (IOC) associés à Royal.