Que sait-on de Royal, qui a revendiqué la cyberattaque contre Lille ?

Le 28 février au soir, la ville de Lille est frappée par une cyberattaque qui va ramener ses services au papier et au crayon. Près d’un mois plus tard, l’attaque est revendiquée sur le site vitrine du gang de rançongiciel Royal. 

Les cybercriminels commencent à divulguer le butin, 10 % de ce dernier, selon eux, mais déjà rien moins que 360 Go de données compressées. S’ils disent vrai, ce sont plus de 3,5 To de données qui ont été dérobées, ce qui représenterait moins de 2 % du volume total de données gérées par la ville, selon celle-ci. Mais qui se cache derrière Royal ?

Pour répondre à cette question, il faut remonter à janvier 2022, avec la découverte d’une nouvelle franchise baptisée Zeon. Aucune de ses victimes n’est publiquement connue. 

Fin février 2022, la Russie envahit l’Ukraine et le gang Conti se déchire, au moins en partie. Le clap de fin est encore lointain. Car la franchise a pris le temps de monter des filiales, comme Karakurt, qui pratique l’extorsion simple en se contentant de voler des données sans les chiffrer. Ses sous-groupes se sont également mis à infuser dans d’autres franchises, comme Black Basta, AvosLocker, ou encore Hive. 

Début août 2022, feu Vitali Kremez, fondateur d’Advintel, détaillait : sur les sous-groupes de Conti, un premier disparaît à l’occasion des fuites de données ayant affecté le gang. Un second se retrouve en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. 

Initialement, rapporte Trend Micro, Zeon exploitait le ransomware de BlackCat, avant de passer à son propre maliciel de chiffrement dédié déposant des notes de rançon rappelant celles de Conti.

Début mars, l’agence américaine de la cybersécurité et de la sécurité des infrastructures (CISA) alertait sur Royal, évoquant des demandes de rançon allant de 1 million de dollars à 11 millions de dollars. Près de 170 victimes à travers le monde sont aujourd’hui publiquement connues. Outre la ville de Lille, Royal a revendiqué, en France, des cyberattaques contre DGM Industrie et FIMM. 

Le groupe pratique la double extorsion, volant les données et chiffrant les systèmes compromis, Windows comme Linux/ESXi.

Selon Yelisey Bohuslavskiy, ancien d’AdvIntel passé chez RedSense au mois de février, Royal « joue un rôle extrêmement important dans le milieu cybercriminel russophone ». Le groupe compterait près de 50 membres actifs organisés en 5 divisions opérationnelles. Selon Trend Micro, Royal fonctionne actuellement comme un groupe fermé, sans affidés.