Royal ransomware crew zakłada BlackSuit w ramach rebrandingu


Według doniesień cyberprzestępczy gang ransomware, który wcześniej działał pod nazwą Royal, zmienił nazwę i ponownie uruchomił ją jako BlackSuit, a obecnie aktywnie atakuje organizacje z wielu sektorów, żądając znacznych wymuszeń alert od Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury Stanów Zjednoczonych (CISA) w ramach trwającej kampanii #StopRansomware.

Prawdopodobnie potomek zlikwidowanej załogi Conti i potencjalny partner innych załóg takie jak Black Basta i HiveRoyal działał przez okres około dziewięciu miesięcy, od jesieni 2022 r. do lata 2023 r., a w tym okresie przeprowadził serię niszczycielskich ataków.

Jego ponowne pojawienie się po 12 miesiącach pod nazwą BlackSuit zostało prześledzone zarówno przez CISA, jak i FBI, które na podstawie kilku znanych cyberataków uznały, że kodowanie jego oprogramowania ransomware jest znacząco podobne do kodowania oprogramowania Royal, a także wykazuje „ulepszone możliwości”.

Jak podaje CISA: „BlackSuit wykorzystuje unikalną metodę częściowego szyfrowania, która pozwala atakującemu wybrać konkretny procent danych w pliku do zaszyfrowania”.

W ten sposób można obniżyć stopień szyfrowania większych plików, co pomaga gangowi uniknąć wykrycia i znacznie zwiększa prędkość działania samego oprogramowania ransomware.

Podobnie jak w przypadku innych gangów, wiadomości e-mail typu phishing są najczęściej wykorzystywane do uzyskania wstępnego dostępu – choć wiadomo również, że BlackSuit korzysta z protokołu RDP (Remote Desktop Protocol), luk w zabezpieczeniach publicznych aplikacji internetowych oraz usług brokerów wstępnego dostępu (IAB).

Reklama

Po uzyskaniu dostępu jego pracownicy wyłączają również oprogramowanie antywirusowe ofiar przed rozpoczęciem pracy. BlackSuit przeprowadza działania związane z eksfiltracją danych i wymusza okup od ofiary przed zaszyfrowaniem jej danych, które są później publikowane na stronie wycieku dark webu, jeśli płatność nie zostanie otrzymana.

CISA podała, że ​​gang zażądał łącznie ponad 500 mln dolarów (393,4 mln funtów) łapówek, przy czym typowe okupy wahały się od 1 mln dolarów do ok. 10 mln dolarów, choć wiadomo, że przynajmniej raz zażądano 60 mln dolarów.

Gang wyróżnia się tym, że nie żąda okupu w momencie pierwszego ataku; ofiary muszą raczej komunikować się bezpośrednio z negocjatorami za pośrednictwem adresu URL Tor Onion, który jest dostarczany po zaszyfrowaniu danych. Wiadomo również, że BlackSuit próbował wykorzystywać połączenia telefoniczne i e-maile do wywierania presji na swoje ofiary.

Martin Kraemer, rzecznik ds. świadomości bezpieczeństwa w WiedziećByć4powiedział: „Grupa odpowiedzialna za ransomware BlackSuit jest znana z agresywnych taktyk wymuszania pieniędzy. Nie boją się grozić firmom ujawnianiem korporacyjnych przestępstw, zastraszać krewnych pracowników i liderów lub szantażować pracowników, ujawniając nielegalne działania.

„Taktyki te mają na celu utrzymanie firmy pod ich kontrolą. Im więcej szkody wyrządzają reputacji firmy, tym bardziej prawdopodobne jest, że ofiara zapłaci. To jest ich strategia.

„Jesteśmy blisko scenariusza, w którym grupy ransomware ściśle współpracują z dostawcami usług dezinformacyjnych. W dark webie można organizować kampanie mające na celu zniszczenie czyjejś reputacji lub manipulowanie cenami akcji. Koszt takich kampanii jest znacznie niższy w porównaniu z potencjalną płatnością okupu.

„Organizacje muszą być gotowe. Zespoły zarządzania kryzysowego i reagowania na incydenty muszą ściśle współpracować z działem PR, aby zapewnić odpowiedni poziom przejrzystości i ograniczyć szkody dla zaufania pracowników i konsumentów. Ponieważ ukierunkowana dezinformacja staje się czynnikiem, działy PR muszą być również przygotowane do przewidywania i zarządzania narracjami, które mogą znacząco zaszkodzić firmie. Niezależnie od tego, czy jest to domniemane zaniedbanie, czy niewłaściwe postępowanie, działy PR muszą mieć przygotowane odpowiedzi”.

Więcej informacji na temat BlackSuit, w tym zaktualizowane wskaźniki zagrożenia (IoC), jest dostępny w CISA.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Wielka Brytania jednoczy narody, aby omówić kwestię likwidacji globalnej luki w umiejętnościach cybernetycznych

Rząd Wielkiej Brytanii chce rozpocząć globalny dialog z wiodącymi krajami z całego świata, aby omówić najlepsze sposoby radzenia sobie z globalnymi zagrożeniami cybernetycznymi...

Już wkrótce możesz zacząć widzieć komentarze na Instagramie w Threads

Zdaniem Alessandro Paluzziego, który często stosuje inżynierię wsteczną w aplikacjach społecznościowych Meta w celu znalezienia nowych funkcji, Instagram może wprowadzić możliwość udostępniania komentarzy...

Kuo: popyt na iPhone’a 16 Pro niższy niż oczekiwano, zamówienia przedpremierowe na iPhone’a 16 Plus wzrosły o 48%

Według nowej analizy przedsprzedaży Ming Chi-Kuo, Apple odnotowuje mniejszy popyt na iPhone'a 16 Pro i iPhone'a 16 Pro Max niż oczekiwano. iPhone 16...
Advertisment