#StopRansomware : l’appel est lancé par le FBI et l’agence américaine de cybersécurité CISA. Le rançongiciel Royal multiplie les victimes aux États-Unis ainsi que dans d’autres pays, visant des organisations et acteurs majeurs d’une grande diversité de secteurs critiques, comme la santé et l’éducation. Alors même que Royal semble être apparu relativement récemment, au début de l’année 2022, l’ampleur des attaques en fait une préoccupation majeure du gouvernement américain, accentuée par des incertitudes quant à l'identité et les motivations de ses membres.
La naissance du rançongiciel Royal ne pourrait être précisément datée, mais les premières attaques notables remonteraient au début de l’année 2022. Zeon, un rançongiciel connu, était utilisé par les hackers de Royal, brouillant les pistes sur les origines des opérations malveillantes. À partir de septembre 2022, le programme s’est transformé en une version unique, désormais utilisée par les pirates.
Après une multiplication des initiatives malveillantes dans le secteur de la santé publique, le Département américain de la Santé et des Services Humains a tiré la sonnette d’alarme, appelant à un renforcement des capacités nationales en cyberdéfense.
Des méthodes bien rodées
L’efficacité des attaques menées par le groupe à l’origine de Royal s’explique par les méthodes utilisées. Dans la majorité des cas, soit 66,7% des tentatives, l’accès au réseau s’effectue à travers un e-mail de phishing. Les destinataires des messages électroniques piégés installent innocemment des pièces jointes ou des logiciels, infectant leurs ordinateurs. Dans 13,3% des cas, les pirates privilégient la méthode de compromission du Remote Desktop Protocol : ils subtilisent des informations de connexion, leur permettant d’accéder aux données et aux logiciels publics d’un serveur à distance.
L’extorsion de fonds, premier objectif des hackers de Royal
Par la suite, les pirates réclament aux victimes de payer des sommes d’argent conséquentes en échange de la restitution de leurs données. Selon le gouvernement américain, les demandes de rançon formulées par Royal varient entre 1 et 11 millions de dollars. Cependant, le communiqué de presse avertit qu’il est préférable de ne pas réaliser ces paiements, puisqu’il n’existe aucune garantie que les données seront réellement détruites. Ces fonds peuvent aussi contribuer à renforcer les capacités du groupe de hackers, tout en incitant d’autres acteurs à employer les mêmes méthodes d’extorsion. Le FBI et la CISA recommandent aux victimes de rapporter les incidents aux autorités compétentes.
Qui se cache derrière Royal ?
L’origine des pirates reste un mystère. La complexité du rançongiciel laisse penser à plusieurs observateurs que les acteurs disposent d’une expérience indéniable, et puissent être liés à d’autres groupes, comme Conti, un gang de hackers proche de la Russie. Ils pourraient ainsi s’être formés auprès de plusieurs groupes de pirates existants. La majorité des victimes sont américaines, mais d’autres nationalités sont également touchées : l'une de ses victimes était le circuit de Silverstone, l'un des plus importants sites de course automobile du Royaume-Uni. Enfin, selon l’agence gouvernementale américaine Health Sector Cybersecurity Coordination Center, « alors que la plupart des opérateurs de ransomware connus ont réalisé des Ransomware-as-a-Service, Royal semble être un groupe privé sans aucun affilié tout en maintenant la motivation financière comme objectif ».
