Главная страница » IOC
0
3 месяца
IOC

BlackSuit Ransomware IOCs - Part 2

security

Группа вымогателей BlackSuit, которая является наследником программы Royal ransomware, стала значительной киберугрозой, применяя передовые тактики, техники и процедуры (TTP). BlackSuit использует фишинг, эксплуатацию RDP и двойное вымогательство для атак на организации по всему миру, требуя более 500 миллионов долларов выкупа и атакуя различные отрасли.

BlackSuit Ransomware

Группа BlackSuit является эволюцией группы Royal ransomware, которая существовала с сентября 2022 по июнь 2023 года. BlackSuit продемонстрировала более агрессивные возможности и стала вымогать более 500 миллионов долларов выкупа. Они используют различные способы первоначального доступа, включая фишинговые кампании, эксплуатацию RDP и уязвимости в публичных приложениях. BlackSuit также использует тактику двойного вымогательства и методы частичного шифрования, чтобы уклониться от обнаружения. Их инфраструктура направляет эксфильтрацию данных через IP-адреса в США и пересылает их на командные и контрольные серверы.

BlackSuit совершила несколько значительных кибератак, которые демонстрируют их методологию и последствия атак. Например, в 2024 году они атаковали компании Kadokawa и Niconico, приводя к утечке личной информации и угрозе обнародования данных, если выкуп не будет выплачен. BlackSuit также атаковала компанию CDK Global, что привело к сбоям в работе более 15 000 дилерских центров.

Анализ ТТП BlackSuit показывает, что они используют фишинг для получения доступа к сетям жертв, а также эксплуатацию RDP для несанкционированного доступа. Они также применяют множество других методов и инструментов, чтобы распространять вымогательское ПО и шифровать данные.

Indicators of Compromise

MD5

  • 0bb61c0cff022e73b7c29dd6f1ccf0e2
  • 1b2b0fc8f126084d18c48b4f458c798b
  • 2f5d60c2475b723526fbdadeff55c3c7
  • 3900ebc7766f3894fb1eb300460376ad
  • 3bf1142b3294c23852852053135ec0df
  • 4f926252e22afa85e5da7f83158db20f
  • 4fbf3f084fbbb2470b80b2013134df35
  • 519dc779533b4ff0fc67727fecadba82
  • 5a24676210bd317520fe30d048c9a106
  • 6015e6e85d0d93e60041fa68c6a89776
  • 60bf4ae8cc40b0e3e28613657ed2eed8
  • 76a2363d509cc7174c4abee9a7d7ae68
  • 7cf4b655453d28f246c815a953f48936
  • 820cfde780306e759bb434da509f7a91
  • 9b02dd2a1a15e94922be3f85129083ac
  • 9fb7d7a1f50541917972115b7d8265b4
  • b54240c98ca23202e58a1580135ad14c
  • b93fa14627f73de3274ba15503c916b0
  • bed5688a4a2b5ea6984115b458755e90
  • d66000edfed0a9938162b2b453ffa516
  • ecc488e51fbb2e01a7aac2b35d5f10bd
  • ed44877077716103973cbbebd531f38e
  • f34d5f2d4577ed6d9ceec516c1f5a744
  • fb8535e2bd80cc8044c52a3ed82d390d

SHA1

  • 286588a50b9b128d07aa0f8851f2d7ee91dfa372
  • 2bb6c8b6461edc49e22f3d0c7dc45904b2ed8a2b
  • 2cb6ff75b38a3f24f3b60a2742b6f4d6027f0f2a
  • 4e38b98965a4d4756e6f4a8259df62cbca7de559
  • 586ea19ea4776300962e20cfc9e7017a50888ecb
  • 8dde03600a18a819b080a41effc24f42fa960a3e
  • a3b617eb4248aba34c28c48886116ac97e55e932
  • cd55256904f1964b90b51089b46f1a933fec3e8e
  • ceb8c699a57193aa3be2a1766b03050cde3c738a
  • e63732fb38d2e823348529a264b4c4718e0c0b4a

SHA256

  • 13a5c3b72f81554e04b56d960d3a503a4b08ec77abb43756932a68b98dac1479
  • 15d4a2fc500dfa55a64221a0a38d9c47510d8d348d3289c89d26e6184ddd51ff
  • 250bcbfa58da3e713b4ca12edef4dc06358e8986cad15928aa30c44fe4596488
  • 27e300fa67828d8ffd72d0325c6957ff54d2dc6a060bbf6fc7aa5965513468e0
  • 312f34ee8c7b2199a3e78b4a52bd87700cc8f3aa01aa641e5d899501cb720775
  • 32877793a1e0d72235e9e785e1f55592c32c9f08b73729815b8103b09a54065f
  • 35619594724871138875db462eda6cf24f2a462e1f812ff27d79131576cd73ab
  • 3b873bc8c7ee12fe879ab175d439b5968c8803fbb92e414de39176e2371896b2
  • 42eec2b721e59640d7b88202b80d2d9a5c84bf34534396098a497a60ef5ebb97
  • 491c2b32095174b9de2fd799732a6f84878c2e23b9bb560cd3155cbdc65e2b80
  • 55cde638e9bcc335c79c605a564419819abf5d569c128b95b005b2f48ccc43c1
  • 60dcbfb30802e7f4c37c9cdfc04ddb411060918d19e5b309a5be6b4a73c8b18a
  • 6c884e4a9962441155af0ac8e7eea4ac84b1a8e71faee0beafc4dd95c4e4753f
  • 74df3452a6b9dcdba658af7a9cf5afb09cce51534f9bc63079827bf73075243b
  • 7eea62dcae4e2e5091dd89959529ae047071415a890dda507db4c53b6dcab28b
  • 87eed751035a0bcce040079e48545a7265e1a0c7d4bcaf0b37a8a70d833feafc
  • 8e01ecf9d804454f34eeceb0f7793f4884be8868886a646526419fc2e2bbb648
  • 9493b512d7d15510ebee5b300c55b67f9f2ff1dda64bddc99ba8ba5024113300
  • a39dc30bd672b66dc400f4633dfa4bdd289b5e79909c2e25e9c08b44d99b8953
  • b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
  • bed8c25dd445b9b9a782291c00f9839890a09459a2a568153491b2f47bbd1463
  • c25f7b30d224d999ce337a13224c1cde9ffb3f415d7113548de9914a1bb3f123
  • e92912153cf82e70d52203a1a5c996e68b7753818c831ac7415aedbe6f3f007d
  • f474241a5d082500be84a62f013bc2ac5cde7f18b50bf9bb127e52bf282fffbf
  • f484f919ba6e36ff33e4fb391b8859a94d89c172a465964f99d6113b55ced429
Комментарии: 0
Похожие записи
0
4 дня
IOC

APT-группа ToddyCat использует уязвимость в ESET для проксирования DLL-файлов

security
Группы APT используют различные методы обхода защитных систем, чтобы скрыть свою деятельность в зараженных системах. Одним из таких методов является использование руткитов на уровне ядра в системах Windows.
0
4 дня
IOC

Lazarus расширяет вредоносную кампанию npm: 11 новых пакетов добавляют загрузчики вредоносного ПО и полезную нагрузку Bitbucket

security
Группа злоумышленников Contagious Interview, предположительно связанная с Северной Кореей и известная как Lazarus Group, продолжает свою вредоносную кампанию, расширяя свое присутствие в экосистеме npm.
0
8 дней
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.