BlackSuit Ransomware: Новый гибридный подход с утечкой данных и шифрованием

В конце прошлого года (2024),  исследователи Palo Alto (Unit 42) обнаружили аналогичные инструментарии и индикаторы.

Происхождение и эволюция BlackSuit

BlackSuit появился в середине 2023 года и быстро привлек внимание специалистов по кибербезопасности. Анализ кода и тактик атак указывает на его связь с группой Royal, которая, в свою очередь, развилась из Conti - русскоязычной киберпреступной организации, известной масштабными атаками на корпорации и государственные структуры. BlackSuit сохранил многие черты своих предшественников, но добавил новые особенности, такие как комбинирование утечки данных с избирательным шифрованием файлов.

Тактики, техники и процедуры (TTPs)

В последней атаке, которую зафиксировал Cybereason, злоумышленники использовали Cobalt Strike для первичного проникновения и контроля над системами. Этот инструмент, изначально созданный для тестирования защищенности, давно стал стандартом в арсенале киберпреступников. После получения доступа BlackSuit применял PsExec и RDP для перемещения внутри сети, а также утилиту vssadmin для удаления теневых копий файлов, что осложняет восстановление данных без оплаты выкупа.

Одной из ключевых особенностей этой атаки стало использование инструмента rclone для выгрузки данных перед шифрованием. В отличие от традиционных схем, где злоумышленники сначала шифруют данные, а затем угрожают их опубликовать, BlackSuit сначала удаляет часть информации, что ускоряет процесс и снижает нагрузку на систему. Это делает атаку менее заметной для средств защиты.

Необычный флаг -nomutex

Еще одной нестандартной особенностью стало использование флага -nomutex, который отключает механизм взаимного исключения (mutex). Обычно ransomware создает мьютекс, чтобы избежать повторного запуска, но BlackSuit намеренно разрешает множественные экземпляры. Это может быть попыткой ускорить шифрование в крупных сетях или обойти системы обнаружения, которые блокируют процессы с подозрительными мьютексами.

Как происходит атака?

1. Первичное заражение. Точка входа остается неизвестной, но первые сигналы поступили с устройства без агента Cybereason.
2. Латеральное перемещение. Используя PsExec и RPC, злоумышленники распространяют вредоносные DLL-файлы (vm.dll, vm80.dll) через временные каталоги Windows.
3. Командование и управление (C2). PowerShell используется для загрузки вредоносных payload-файлов с удаленных серверов.
4. Кража данных. Rclone (переименованный в vmware.exe) передает около 60 ГБ данных на внешние серверы.
5. Удаление теневых копий. Vssadmin очищает backup-файлы, лишая жертву возможности восстановления.
6. Шифрование. BlackSuit шифрует файлы, избегая критических системных директорий (Windows, ADMIN$), чтобы не нарушить работу системы.

Заключение

BlackSuit - очередное подтверждение того, что ransomware-группы не стоят на месте. Их атаки становятся быстрее, незаметнее и разрушительнее. Комбинация утечки данных с частичным шифрованием делает этот вид угрозы особенно опасным, так как даже при наличии резервных копий компания рискует потерять критически важную информацию. Только комплексный подход к безопасности может снизить риски и минимизировать последствия таких инцидентов.

IPv4

• 180.131.145.85
• 184.174.96.71
• 82.192.88.95
• 88.119.175.194

Domains

• beamofthemoon.com
• kiddlanka.com
• mail.beamofthemoon.com
• mail.kiddlanka.com
• mail.misstallion.com
• misstallion.com
• store.beamofthemoon.com
• store.misstallion.com

SHA256

• 0112e3b20872760dda5f658f6b546c85f126e803e27f0577b294f335ffa5a298
• 69a20bae02480e03cb36e26729ed4a74c613eee5ba8c44396655da84a851fd03
• d53f5c10f07d4610a0fa1b6a8638648e4ab5370377364a2cc7aff4bb75c4d71b