Dans la nuit du 28 février au 1er mars, la ville de Lille a été la victime d'une intrusion dans son système d'information. Face à l'urgence de la situation, des mesures de confinement ont été prises et certains services fonctionnent en mode dégradé.
Mi-mars, des agents municipaux ont reçu une demande de rançon sur leur messagerie personnelle, sans toutefois une revendication. La municipalité lilloise a par la suite confirmé que des données ont été prélevées dans certains serveurs, y compris des données à caractère personnel, mais sans entrer dans les détails.
Plusieurs semaines après la cyberattaque, un groupe de ransomware sort du bois et publie une annonce via un portail sur le Dark Web (domaine en .onion). Repérée par ZATAZ, cette publication fait actuellement état d'une exfiltration de données et d'une diffusion à hauteur de 10 % pour le moment.
Le groupe de ransomware Royal
Ce sont trois fichiers compressés qui sont mis à disposition. Ils représentent un total de plus de 350 Go. Comme ce sont des fichiers compressés, la somme de données exfiltrées paraît déjà très conséquente, d'autant qu'il ne s'agirait que de 10 %…
Les cybercriminels se présentent sous l'identité du groupe Royal. Il y a quelques incohérences dans leur annonce, avec le nombre d'employés de la ville de Lille et son budget de fonctionnement qui sont bien en dessous de la réalité.
Reste que le groupe de ransomware Royal est à prendre au sérieux. En début de mois, l'Agence de cybersécurité et de sécurité des infrastructures pour les États-Unis a publié un avis de cybersécurité à son sujet.
Des anciens de Conti ?
De l'ordre de 150 victimes sont affichées au compteur du groupe Royal qui est actif sous ce nom depuis au moins septembre 2022. Les demandes pour des rançons vont de 1 million à 11 millions de dollars (en bitcoins).
Une note apparaît après un chiffrement de données (fichiers chiffrés en .royal) et demande aux victimes d'interagir via une URL en .onion. Le groupe Royal pratique l'exfiltration de grandes quantités de données avant de déployer son ransomware et chiffrer les systèmes.
Selon un rapport de Trend Micro, le groupe Royal serait une émanation du groupe Conti et d'un sous-groupe Zeon ultérieurement rebaptisé Royal. A priori basé en Russie, le groupe Conti avait été démantelé en juin 2022.