Le ransomware Royal utilise l'encryptor Blacksuit pour attaquer les entreprises

Le ransomware Royal est un groupe de ransomware composé de testeurs de pénétration et de membres associés à l’équipe Conti 1, ainsi que d’autres recrues provenant d’autres gangs de ransomware qui ciblent les organisations. Lancé en 2023, il est considéré comme le successeur de Conti, qui a fermé en juin 2022.

Depuis sa création, le ransomware Royal a été très actif et est responsable de plusieurs attaques contre des entreprises. Il semble que le groupe de ransomware Royal ait commencé à tester un nouvel encryptor nommé Blacksuit, qui présente de nombreuses similitudes avec l’encryptor de campagne régulier.

Il y a eu suffisamment de rumeurs depuis avril dernier selon lesquelles le ransomware Royal était en train de se re-marquer sous un nouveau nom. Cela est devenu plus sérieux alors que le groupe de ransomware se sentait sous pression de la part des forces de l’ordre après avoir attaqué la ville de Dallas, au Texas.

En mai, des chercheurs en cybersécurité ont découvert des attaques utilisant leur propre encryptor de marque et la négociation Tor, et il est believed que ce sont les campagnes que le ransomware Royal allait re-marquer, mais il s’avère qu’il n’y a pas eu de re-marque, le groupe de ransomware continue d’attaquer les organisations et utilise Blacksuit dans moins d’attaques.

Yelisey Bohuslavskiy, partenaire et responsable R&D chez RedSense, a posté sur LinkedIn que Royal, l’héritier direct de Conti, est composé de plus de 60 testeurs de pénétration, soit de l’ancienne garde de Conti, soit recrutés dans divers groupes de ransomware d’élite. Opérant en petits groupes de 4 à 5 individus, ils restent loyaux envers leurs dirigeants.

Lire: Nouvelle variante de Trojan Royal découverte, cible les machines virtuelles VMware ESXi

Le groupe de ransomware utilise Blacksuit et Royal Loader, avec Emotet et IcedID comme précurseurs. Ils privilégient les alternatives à CobaltStrike, en particulier Silver, et développent des précurseurs personnalisés.

Selon Bohuslavskiy, il est possible que le groupe de ransomware teste simplement un nouvel encryptor comme ils l’ont fait avec d’autres outils utilisés par eux, y compris un nouveau loader IcedID et en revitalisant Emotet.

Ils continuent également à améliorer l’Emoled pour le revitaliser et travaillent beaucoup sur IcedID. Leurs expériences avec de nouveaux lockers sont naturelles dans ce sens, mentionne Bohuslavskiy.

En plus de cela, Bohuslavskiy a déclaré que nous pourrions bientôt voir plus de choses comme Blacksuit. Mais jusqu’à présent, il semble que le nouveau loader et le locker Blacksuit aient été un échec.

Étant donné que Blacksuit est une activité autonome, Royal prévoit probablement de commencer un sous-groupe axé sur des types spécifiques de victimes, ou il est gardé pour un rebranding plus tard. Bien que nous ne puissions pas voir de rebranding car il existe des similitudes claires entre Blacksuit et le ransomware Royal, soulignées dans un rapport de Trend Micro.

Les similitudes incluent des similitudes de code, l’inclusion de fichiers et plus encore. Bien qu’il ne soit pas clair comment Blacksuit sera utilisé. Il est encore utilisé dans certaines des attaques. À l’heure actuelle, il n’y a qu’une seule victime répertoriée sur leur site Web de fuite de données, bien que cela puisse changer très rapidement si le nouvel encryptor est utilisé plus intensément.

Lire: Le groupe de hackers Dark Pink ciblant les organisations militaires et gouvernementales