Échec et Mat pour les pirates du groupe Royal ?

Posted On 10 Juil 2023

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS

Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Les pirates informatiques du groupe Royal, dont la dernière apparition date de la mi-juin, ont totalement disparu de la circulation.

Avec plus de 200 entreprises malmenées et des centaines de milliers de données diffusées en France, au Canada, en Côte d’Ivoire, etc., le groupe pirate Royal est devenu l’une des plaies du web, se hissant dans le top 10 des amateurs de ransomwares les plus virulents. Les trois adresses du groupe Royal sur le darkweb ne répondent plus. « Le site onion est introuvable. La cause la plus probable est que le site onion est hors ligne« , indique le navigateur des visiteurs. Il reste un accès au groupe qui affiche comme logo une pièce d’échiquier, le Roi. Un formulaire de contact vide de réponse pour les utilisateurs qui souhaitent contacte les maîtres chanteurs.

Royal, a plus de 200 victimes affichées. Il s’était attaqué, ces dernières semaines, aux villes de Dallas (USA) ou de Lille (France), à une dizaine d’importantes écoles américaines, dont plusieurs dans le Montana, ainsi qu’au Morris Hospital, ou encore à une importante agence d’intérim française.

On ne peut que se réjouir de la disparition d’un groupe de pirates, mais que s’est-il véritablement passé et, surtout, où sont les millions de documents qu’ils ont pu exfiltrer durant leurs malveillances informatiques ?

Royal a exploité massivement une faille de sécurité critique qui affectait les systèmes Citrix. Cette vulnérabilité, identifiée sous le nom de CVE-2022-27510, avait été annoncée en novembre 2022. Elle permettait de contourner les mesures d’authentification de deux produits de la société Citrix : l’Application Delivery Controller (ADC) et le Gateway. Le groupe est devenu très actif également via des campagnes publicitaires Google Ads piégées.

Royal utilisait aussi une technique exploitée par Sodinokibi en son temps. Il créait de faux forums dans des blogs infiltrés. Les messages dans les « forums » proposaient de télécharger des documents universitaires liés, dans les cas repérés, aux banques. De forts soupçons relient Royal à d’anciens membres du groupe Conti, équipe de malveillants regroupant des Russes et des Ukrainiens, dissoute après l’invasion russe en Ukraine.

Les experts de Palo Alto Unit42 ont remarqué que le nouveau ransomware Linux BlackSuit présentait des similarités significatives avec Royal. Cela pourrait aussi laissé penser que le groupe s’est dissout pour changer de marque, de groupe, Etc.

Royal exigeait des rançons atteignant plusieurs millions de dollars. Écrit en C++, il infectait les systèmes Windows et supprimait toutes les possibilités de récupération des données. Le ransomware chiffrait les partages réseau et les lecteurs locaux avec l’algorithme AES.

Détail intéressant, au début du mois de mars, le Federal Bureau of Investigation (FBI) et l’Agence de cybersécurité et de sécurité des infrastructures (CISA) publiait conjointement un avis de cybersécurité (CSA) pour fournir aux organisations les tactiques, les techniques, les procédures (TTP) et les indicateurs de compromission (IOC) associés à Royal.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.