Исследователи из CISA и ФБР подтвердили, что программа Royal ransomware переименовалась в BlackSuit и с момента своего появления более двух лет назад потребовала от жертв более 500 миллионов долларов.
BlackSuit Ransomware
Изначально эта программа использовала шифровальщики других банд, но в сентябре 2022 года они развернули свой собственный шифровальщик Zeon и брендировали его в Royal ransomware. После атаки на город Даллас, штат Техас, в июне 2023 года, на фоне слухов о ребрендинге Royal ransomware начали тестировать новый шифровальщик под названием BlackSuit. С тех пор они работают под именем BlackSuit, а атаки Royal Ransomware полностью прекратились. Банда BlackSuit связана с атаками на более чем 350 организаций с сентября 2022 года и требованиями выкупа на сумму не менее 275 миллионов долларов. ФБР и CISA поделились индикаторами компрометации и списком тактик, техник и процедур (TTP), чтобы помочь защитникам блокировать попытки банды внедрить ransomware в их сети.
7 августа 2024 г. в информационном бюллетене CISA была обновлена информация о вымогательстве BlackSuit, которое использует тактику, схожую с Royal, но с улучшенными возможностями. Агенты BlackSuit выкачивают данные и угрожают опубликовать их, если требования о выкупе, составляющие от 1 до 10 миллионов долларов США, не будут выполнены. Первоначальный доступ обычно получают с помощью фишинговых писем (наиболее успешный вектор первоначального доступа), дополнительные векторы включают компрометацию протокола удаленного рабочего стола (RDP), эксплуатацию общедоступных приложений и брокеров первоначального доступа. Попав в сеть, злоумышленники отключают антивирусное программное обеспечение, осуществляют эксфильтрацию данных, устанавливают выкупное ПО и шифруют взломанную систему. Для защиты и управления BlackSuit использует такие инструменты, как Chisel, Secure Shell (SSH) клиент, PuTTY, OpenSSH, MobaXterm, SystemBC и Gootloader. При обнаружении и эксфильтрации используются такие инструменты, как SharpShares, SoftPerfect NetWorx, Mimikatz, Nirsoft tools, RClone и Brute Ratel. Во время шифрования они используют диспетчер перезапуска Windows для проверки использования файлов, службу Windows Volume Shadow Copy для удаления теневых копий, чтобы предотвратить восстановление, и развертывание пакетных файлов. Вредоносные файлы часто обнаруживаются в таких каталогах, как C:\Temp, C:\Users<user>\AppData\Roaming, C:\Users<users>, C:\ProgramData и Root C:.
Совместный отчет был впервые выпущен после того, как в декабре 2022 года группа безопасности Министерства здравоохранения и социальных служб (HHS) обнаружила, что за многочисленными атаками на медицинские организации по всей территории США стоит вымогательское ПО. Совсем недавно источники Bleeping Computer установили, что банда вымогателей BlackSuit стоит за масштабным сбоем в работе ИТ-системы CDK Global, который нарушил работу более 15 000 автосалонов по всей Северной Америке.
Indicators of Compromise
IPv4
- 135.148.67.84
- 138.199.53.226
- 141.98.80.181
- 180.131.145.85
- 184.174.96.16
- 185.190.24.103
- 193.37.69.116
- 5.181.234.58
- 89.251.22.32
- 93.184.221.240
Domains
- abbeymathiass.com
- mail.abbeymathiass.com
- mail.turnovercheck.com
- megupdate.com
- provincial-gaiters-gw.aws-use1.cloud-ara.tyk.io
- store.abbeymathiass.com
- store.turnovercheck.com
- turnovercheck.com
URLs
- https://1tvnews.af/xmlrpc.php
- https://avpvuurwerk.nl/xmlrpc.php
- https://beautyhabits.gr/xmlrpc.php
- https://file.io/ScPd1KcJTtxO
- https://interpolyaris.ru/xmlrpc.php
- https://libertygospeltracts.com/xmlrpc.php
- https://oldtimertreffen-rethem.de/xmlrpc.php
- https://parencyivf.com/xmlrpc.php
- https://pikaluna.com/xmlrpc.php
- https://stroeck.at/xmlrpc.php
SHA1
- 790d40cd16fb458bf99e3600bce29eca06d40b56
SHA256
- 01ce9cfebb29596d0ab7c99e8dbadf1a8409750b183e6bf73e0de021b365be13
- 141b2190f51397dbd0dfde0e3904b264c91b6f81febc823ff0c33da980b69944
- 146335b1be627318ac09476f0c8f8e6e027805e6077673f72d6dce1677a24c78
- 1743494f803bbcbd11150a4a8b7a2c5faba1223da607f67d24b18ca2d95d5ba3
- 1cdafbe519f60aaadb4a92e266fff709129f86f0c9ee595c45499c66092e0499
