Un nouveau chiffreur pour le gang Royal ransomware.

BlackSuit, le nouveau chiffreur du gang Royal ransomware.

Royal ransomware gang ajoute le chiffreur BlackSuit à son arsenal. Le gang Royal ransomware a commencé à tester un nouveau chiffreur appelé BlackSuit qui partage de nombreuses similitudes avec le chiffreur habituel de l’opération. Royal a été lancé en janvier 2023, considéré comme le successeur direct de la tristement célèbre opération Conti, qui s’est arrêtée en juin 2022.

A côté de sa fonction de chiffrement et de renommage des fichiers, le rançongiciel BlackSuit modifie le fond d’écran du bureau et crée un fichier de note de rançon nommé ” README.BlackSuit.txt”. Généralement les autorités de veille en sécurité informatique déconseillent fortement de payer la rançon proposée par les cybercriminels à l’origine de ce virus. En effet les arnaques sont fréquentes dans ce domaine d’attaque.

Selon les chercheurs en sécurité de Trend Micro, “Royal ransomware, qui est déjà l’une des familles de ransomwares les plus notables de 2022, a acquis une notoriété supplémentaire début mai 2023 après avoir été utilisé pour attaquer des systèmes informatiques à Dallas, au Texas. Vers la même période, plusieurs chercheurs sur Twitter sont tombés sur une nouvelle famille de rançongiciels appelée BlackSuit qui ciblait à la fois les utilisateurs Windows et Linux.”


Trend Micro est une société basée à Tokyo au Japon. La société développe des logiciels de sécurité pour les serveurs, les environnements de cloud computing, les particuliers et pour les petites et moyennes et entreprises. Trend Micro reçoit son intelligence de menace auprès de TrendLabs, le centre de recherche, de développement et de support de l'entreprise. TrendLabs compte dix laboratoires dans le monde entier et a son siège social aux Philippines et emploie 1 200 experts et ingénieurs en sécurité. Le laboratoire basé à Singapour de la société fournit des méthodes et des analyses de logiciels malveillants.

Le chiffrement est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de chiffrement. Ce principe est généralement lié au principe d'accès conditionnel. Le chiffrement est l’élément fondamental de la sécurité des données. C’est le moyen le plus simple et le plus efficace de s’assurer que les informations du système informatique ne peuvent être ni volées ni lues par quelqu’un qui souhaite les utiliser à des fins malveillantes. Un algorithme de chiffrement ou code est utilisé pour développer un schéma de chiffrement qui, en théorie, ne peut être rompu que par une exceptionnelle puissance de calcul. La méthode de brute force est souvent employée pour déchiffrer l'algorithme.
Il est courant que les gangs de ransomwares exploitent des vulnérabilités connues pour obtenir un accès initial aux réseaux cibles. Les ransomwares sont des logiciels malveillants conçus pour chiffrer les données d’un système ou d’un réseau et exiger une rançon en contrepartie de la fourniture d’une clé de déchiffrement. Les gangs de ransomwares recherchent en permanence de nouvelles façons d’infiltrer les systèmes via des failles critiques. Ces groupes de pirates peuvent tirer parti de vulnérabilités logicielles connues pour réussir leurs cyberattaques. Malgré le paiement de la rançon, certains groupes cybercriminels peu scrupuleux n’hésitent pas à diffuser les informations volées sur le dark net.

D’où l’importance de maintenir à jour les systèmes, les réseaux et les logiciels avec les derniers correctifs de sécurité. Il s’agit de mettre en œuvre des solutions de sécurité robustes telles que des pare-feu et des logiciels antivirus. Il va sans dire qu’il faut aussi adopter des bonnes pratiques en matière de cybersécurité et sensibiliser le personnel aux risques de pénétration dans les réseaux. La sensibilisation des utilisateurs est cruciale et complémentaire à une sauvegarde régulière du système et des données afin de réduire les risques d’attaque par rançongiciel.

Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.

Les cyberattaques sont des attaques malveillantes menées contre des systèmes informatiques, réseaux ou données, dans le but de causer des dommages, voler des informations ou perturber les opérations. Elles peuvent prendre différentes formes, telles que les virus, les logiciels malveillants, les attaques de phishing ou les attaques par déni de service (DDoS). Elles peuvent provenir aussi d'attaques par rançongiciels, par botnets ou via l'exploitation de failles critiques de sécurité dites Zero-Day.

Une cyberattaque peut émaner de personnes isolées, Kevin Mitnick étant une des plus célèbres, d'un groupe de pirates ou plus récemment de vastes organisations ayant des objectifs géopolitiques. Les retards liés à l'application des mises à jours et correctifs d'applications accentue les risques d'intrusion dans les systèmes et les réseaux. Des exploits dormants infectent les systèmes et les réseaux non corrigés en vue de leur future activation. Un procédé qui permet de masquer l'origine de l'attaque et de voler des informations confidentielles dans un but lucratif.

Ces attaques peuvent avoir des conséquences dévastatrices, tant pour les individus que pour les entreprises ou les gouvernements, allant de la perte de données sensibles à la mise hors service de services essentiels. La protection contre les cyberattaques est devenue une priorité majeure pour tous ceux qui utilisent des technologies informatiques.

Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut