Le retour⁢ du gang de ransomware Royal sous le nom de BlackSuit : une menace​ renouvelée

Le groupe ⁤criminel spécialisé ​dans les ransomwares, qui opérait auparavant sous le nom de Royal, a changé d’identité et se présente désormais sous‍ le nom de BlackSuit. Ce groupe cible activement des organisations ‍dans divers secteurs avec⁢ des demandes d’extorsion considérables,⁣ comme l’indique ⁤une alerte de l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) dans le cadre de sa campagne continue #StopRansomware.

Issu probablement de l’opération Conti, désormais disparue, et ayant des liens potentiels avec d’autres groupes tels ‍que⁣ Black Basta et Hive, Royal a été actif ⁢pendant environ neuf mois, ⁢de l’automne 2022 à l’été 2023, ‌période durant laquelle il a mené une ⁢série d’attaques dévastatrices.

Son retour, un an plus tard sous le nom de BlackSuit, a été surveillé par la CISA et le FBI, qui ont constaté que le code de‍ son ransomware présente des similitudes significatives avec celui de Royal,‍ tout en affichant des⁣ « capacités améliorées ».

Parmi ces améliorations, la CISA a noté​ que « BlackSuit utilise une approche unique de cryptage partiel, permettant à l’attaquant de ⁢choisir un pourcentage⁢ spécifique de données à chiffrer dans un fichier ».

Cette méthode permet de​ réduire ‌le pourcentage de cryptage pour les fichiers​ volumineux, ce qui aide le groupe à éviter⁣ la détection‌ et améliore considérablement⁣ la rapidité d’exécution du ransomware.

Comme d’autres gangs, BlackSuit utilise principalement‌ des courriels de phishing pour obtenir un accès initial,⁣ mais ‌il est également connu pour exploiter le protocole de bureau à distance ‍(RDP), ⁣les vulnérabilités des applications web accessibles au public, ainsi que‍ les services ​de courtiers d’accès‍ initial (IAB).

Une fois l’accès obtenu, les opérateurs de BlackSuit désactivent également les logiciels⁢ antivirus des victimes avant de passer à l’action.‌ Le⁢ groupe effectue des activités d’exfiltration de données et extorque ses victimes avant de chiffrer leurs données, qui sont ensuite ⁢publiées sur ​un site de fuite du dark web si le paiement ⁤n’est pas effectué.

La CISA a rapporté que le ⁤gang a exigé collectivement plus de 500 millions de dollars (environ 393,4 millions de livres sterling) en rançons, avec des demandes ⁣typiques variant de 1‌ million​ de dollars à 10 millions de dollars, bien qu’une ​demande d’au moins 60 ​millions ⁤de dollars‍ ait été​ signalée.

Ce qui distingue ce groupe, c’est qu’il ne​ fait pas de demande de rançon​ au moment de‍ l’attaque initiale ; les victimes doivent plutôt interagir directement avec​ ses négociateurs via une URL Tor Onion, fournie après le chiffrement des données.‌ BlackSuit a également tenté d’utiliser⁢ des appels téléphoniques⁢ et des ‍courriels pour faire pression sur ses victimes.

Martin ⁢Kraemer, défenseur de la sensibilisation à la sécurité chez KnowBe4, a déclaré : « Le​ groupe responsable du ransomware BlackSuit est connu pour ses tactiques agressives d’extorsion. Ils n’hésitent pas à menacer les entreprises de révéler des actes répréhensibles, à intimider⁢ les proches des employés et des ‍dirigeants, ou à faire‌ du chantage aux employés en révélant des activités illégales. »

« Ces tactiques visent à maintenir une​ entreprise sous⁣ leur contrôle.‌ Plus ils nuisent à la réputation d’une entreprise, plus il est probable que la victime paie. C’est leur stratégie. »

« Nous nous rapprochons d’un scénario où les groupes de ransomware collaborent étroitement avec des⁤ fournisseurs​ de services de désinformation. Sur le dark web, il est possible d’organiser‍ des campagnes pour détruire la réputation personnelle de quelqu’un ou manipuler​ les prix des actions. Le⁣ coût⁢ de telles⁢ campagnes est bien inférieur à celui d’un paiement de rançon potentiel. »

« Les organisations doivent être⁣ prêtes. Les équipes de gestion de ‌crise et de réponse aux incidents doivent collaborer étroitement‍ avec le département des relations publiques pour garantir le bon niveau de transparence et limiter les dommages à la confiance des employés et des consommateurs.‍ Avec‌ la désinformation ciblée devenant un facteur, les départements de ‌communication⁣ doivent également être⁢ préparés à ‍anticiper et à gérer⁣ des récits​ qui pourraient nuire considérablement à l’entreprise. Qu’il s’agisse‍ de négligence‍ présumée ou de faute, les ‌départements de ​communication doivent avoir des réponses prêtes. »

Pour plus d’informations sur BlackSuit, y compris des indicateurs‌ de compromission (IoCs) mis à jour, consultez les ressources de la CISA.

En ‍savoir plus sur les hackers et la prévention de la cybercriminalité

  • La panne de CDK‌ Global : explication ‌de ⁣son origine

  • Le FBI découvre 7 000⁢ clés de déchiffrement LockBit, un coup⁢ dur pour ⁤le gang criminel

  • CISA : le ransomware Akira ⁤a extorqué 42 millions de dollars à plus de 250 victimes

  • LockBit et‌ Alphv/BlackCat mettent en lumière l’activité des ransomwares en​ février
Tags:
Shares: