Selon la société de cybersécurité Trend Micro, le ransomware Royal, très actif, est géré par des acteurs de la menace compétents qui faisaient auparavant partie de groupe Conti.

Selon Trend Micro, Royal est la version rebaptisée du ransomware Zeon, apparu en début d'année et associé en août à Conti Team One, l'un des groupes impliqués dans la diffusion du ransomware Conti.

Après que le gang Conti a déclaré publiquement son soutien à l'invasion de l'Ukraine par la Russie, une personne se présentant comme un chercheur en cybersécurité ukrainien a publié une quantité importante de données du ransomware, et l'opération a été arrêtée en mai.

Selon une carte que le chercheur en sécurité Vitali Kremez a partagée en août, il y avait trois groupes de cybercriminels derrière Conti, l'un d'entre eux passant au ransomware Quantum, un autre exploitant les familles de ransomware Black Basta, Karakurt et Blackbyte, et maintenant Royal, et le troisième étant fermé début 2022.

Le ransomware Royal est généralement diffusé par le biais d'un hameçonnage par rappel, incitant les victimes à installer un logiciel d'accès à distance. Ensuite, les opérateurs du ransomware injectent des outils supplémentaires sur le système infecté à l'aide d'un logiciel malveillant d'accès à distance, notamment QakBot et Cobalt Strike pour les mouvements latéraux, NetScan pour trouver les systèmes connectés aux réseaux, et PCHunter, PowerTool, GMER et Process Hacker pour désactiver les logiciels de sécurité.

En outre, les attaquants ont utilisé RDPEnable pour les connexions de bureau à distance, RClone pour exfiltrer les données des victimes, AdFind pour rechercher les répertoires actifs et PsEXEC pour exécuter le ransomware.

Royal supprime les copies d'ombre sur le système pour empêcher la récupération des données, et augmente la vitesse de chiffrement en exécutant des threads sur tous les processeurs du système et en utilisant une forme de chiffrement intermittent. Le ransomware dépose une note de rançon dans chaque répertoire qu'il traverse.