Ransomware : oubliez Royal, préparez-vous pour BlackSuit
Le site vitrine du groupe Royal n’est aujourd’hui plus accessible. Mais cette émanation du gang Conti n’a pas disparu : elle semble être en train de changer de marque au profit de BlackSuit.
L’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) le suspecte – et n’est pas seule en cela : « il existe des indications selon lesquelles Royal prépare un effort de changement de marque et/ou de spinoff ». En ligne de mire, BlackSuit, qui « partage plusieurs caractéristiques de code similaires à Royal ».
Selon la CISA, « depuis septembre 2022, royal a visé plus de 350 victimes connues dans le monde, et les demandes de rançon ont dépassé les 275 millions de dollars ». Le vecteur d’intrusion initial favori des attaquants liés à Royal aurait été le phishing.
Qui est donc Royal ? C’est le groupe qui est impliqué dans la cyberattaque ayant frappé la ville de Lille fin février. Il trouve ses origines dans une franchise découverte en janvier 2022 et baptisée Zeon. Aucune de ses victimes n’est publiquement connue.
Initialement, rapporte Trend Micro, Zeon exploitait le ransomware de BlackCat, avant de passer à son propre maliciel de chiffrement dédié déposant des notes de rançon rappelant celles de Conti. Ce n’est pas un hasard.
Fin février 2022, la Russie envahit l’Ukraine et le gang Conti se déchire, au moins en partie. Le clap de fin est encore lointain. Car la franchise a pris le temps de monter des filiales, comme Karakurt, qui pratique l’extorsion simple en se contentant de voler des données sans les chiffrer. Ses sous-groupes se sont également mis à infuser dans d’autres franchises, comme Black Basta, AvosLocker, ou encore Hive.
Une partie du troisième sous-groupe de Conti a été retrouvée chez BlackByte, Karakurt et Black Basta, tandis que l’autre est restée avec Zeon qui sera donc rebaptisé Royal au mois de septembre 2022.
Début mars 2023, la CISA alertait déjà sur Royal, évoquant des demandes de rançon allant de 1 million de dollars à 11 millions de dollars.
Le groupe pratique la double extorsion, volant les données et chiffrant les systèmes compromis, Windows comme Linux/ESXi. Fin mars dernier, Yelisey Bohuslavskiy, de RedSense, estimait que Royal « joue un rôle extrêmement important dans le milieu cybercriminel russophone ». Le groupe compterait près de 50 membres actifs organisés en 5 divisions opérationnelles. Selon Trend Micro, Royal fonctionne comme un groupe fermé, sans affidés.