États-Unis : la ville de Dallas victime d’une cyberattaque avec le ransomware Royal

Tout a commencé par un soupçon de cyberattaque. Dans l’après-midi de ce mercredi 3 mai 2023, heure locale, CBS News rapporte qu’une partie du système de communication de la police de Dallas est tombée en panne, de même que certains autres services de la ville. 

À ce moment-là, nos confrères sont prudents et indiquent ne pas encore savoir si la panne est due à un dysfonctionnement ou à une cyberattaque. Mais les premiers effets sont marquants : les opérateurs du numéro d’appel au secours de la police, le 911, peuvent recevoir des appels, mais ils doivent écrire manuellement les instructions pour les policiers. Ces derniers ne peuvent répondre que par téléphone et radio.

Quelques heures plus tard, le doute n’est plus permis : la ville texane, qui compte plus de 2,5 millions d’habitants, est victime d’une cyberattaque avec rançongiciel. Nos confrères de CBS News obtiennent une copie de la note de rançon : c’est le groupe Royal qui est impliqué. 

Ce groupe de cybercriminels n’est pas inconnu en France. C’est lui qui a ramené, le 28 février dernier, la ville de Lille au crayon et au papier pour de longues semaines. Celle-ci compte parmi les victimes dont Royal a divulgué l’intégralité des données dérobées à l’occasion de la cyberattaque. 

Ce groupe est particulièrement actif en ce printemps. Il a revendiqué plus de 200 cyberattaques depuis début novembre dernier, dont 20 au mois d’avril 2023. 

Royal est une émanation de la PME mafieuse Conti. Celle-ci comptait trois sous-groupes. Un premier a disparu à l’occasion des fuites de données ayant affecté le gang début 2022, à la suite de l’invasion de l’Ukraine par la Russie. Un second s’est retrouvé en partie chez Silent Ransom et chez Quantum. Une partie du troisième sous-groupe est à retrouver chez BlackByte, Karakurt et Black Basta, tandis que l’autre reste avec Zeon qui sera rebaptisé Royal au mois de septembre 2022. 

Initialement, rapporte Trend Micro, Zeon exploitait le ransomware de BlackCat, avant de passer à son propre maliciel de chiffrement dédié déposant des notes de rançon rappelant celles de Conti.

Selon Yelisey Bohuslavskiy, ancien d’AdvIntel passé chez RedSense au mois de février, Royal « joue un rôle extrêmement important dans le milieu cybercriminel russophone ». Le groupe compterait près de 50 membres actifs organisés en 5 divisions opérationnelles. Selon Trend Micro, Royal fonctionne actuellement comme un groupe fermé, sans affidés.