Blacksuit
Blacksuit un gruppo privato specializzato in ransomware ed estorsioni emerso tra l'inizio di aprile e maggio del 2023. Presenta numerose somiglianze con Royal Ransomware, il che fa supporre che possa trattarsi di uno spin-off o di un rebranding.
L'origine di Blacksuit
Blacksuit un gruppo privato specializzato in ransomware ed estorsioni emerso tra l'inizio di aprile e maggio del 2023. Il gruppo presenta diverse somiglianze con Royal Ransomware, il che ha portato gli esperti a ipotizzare che Blacksuit essere uno spin-off o un rebranding del gruppo precedente.
Royal Ransomware, che a sua volta è una versione rinnovata di Conti, si è fatto conoscere per i suoi attacchi altamente mirati contro settori delle infrastrutture critiche e per i suoi sofisticati metodi volti a ottenere l'accesso iniziale, elevare i privilegi ed eludere i sistemi di rilevamento.
Partendo da queste premesse, Blacksuit portare avanti questa tradizione con tecniche raffinate e un approccio mirato all'estorsione, prendendo di mira settori simili di alto valore e avvalendosi di tattiche avanzate per violare e crittografare le reti delle proprie vittime.
Paesi di riferimento di Blacksuit
BlackSuit opera su scala globale, con una presenza significativa nei seguenti paesi:
- Nord America: in particolare gli Stati Uniti e il Canada.
- Europa: compresi alcuni episodi degni di nota in Italia e nel Regno Unito.
- Asia: la Corea del Sud ha segnalato diversi attacchi.
- Sudamerica: il Brasile rappresenta una destinazione di rilievo in questa regione.
Settori di riferimento di Blacksuit
Secondo SOCradar, Blacksuit prende di mira Blacksuit i seguenti settori:
- Servizi educativi (22,7%): si tratta del settore più preso di mira, il che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
- Pubblica amministrazione (13,6%): gli enti pubblici sono spesso oggetto di attacchi, che causano gravi interruzioni dei servizi pubblici.
- Edilizia, servizi professionali, scientifici e tecnici, commercio all'ingrosso, industria manifatturiera (9,1% ciascuno): anche questi settori sono particolarmente esposti a rischio a causa della loro importanza strategica e del potenziale impatto elevato che potrebbero subire in caso di interruzioni.
- Altri settori: tra cui commercio al dettaglio, trasporti e magazzinaggio, servizi di informazione, arte, spettacolo e tempo libero, assistenza sanitaria e altri servizi (4,5% ciascuno).
Le vittime Blacksuit
Blacksuit oltre 96 vittime. Blacksuit le vittime di alto profilo di Blacksuit importanti istituti di istruzione, agenzie governative, imprese edili, società di servizi professionali e operatori sanitari. Questi attacchi causano spesso gravi interruzioni operative e violazioni dei dati.
Il metodo di attacco Blacksuit
Blacksuit ottiene Blacksuit l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni accessibili al pubblico e utilizzando allegati o link dannosi.
Una volta entrati nella rete, gli hacker sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un livello di accesso più elevato.
Il gruppo ricorre a diverse tecniche per eludere i sistemi di rilevamento, tra cui la disattivazione degli strumenti di sicurezza, l'uso di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Blacksuit keylogger, strumenti per l'estrazione delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Effettuano un'approfondita attività di ricognizione all'interno della rete per comprenderne la struttura, individuando i sistemi critici e i dati sensibili.
Avvalendosi di strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente all'interno della rete per infettare altri sistemi.
Blacksuit e sottrae dati sensibili per costringere le vittime a pagare il riscatto. Si tratta spesso di dati finanziari, informazioni personali e informazioni aziendali riservate.
Il ransomware viene installato ed eseguito per crittografare i file presenti sui sistemi compromessi.
I dati vengono trasferiti su server esterni controllati dagli aggressori, spesso tramite canali crittografati per evitare di essere individuati.
La fase finale consiste nel crittografare i dati e i sistemi della vittima, rendendoli inutilizzabili. Viene quindi visualizzata una richiesta di riscatto in cui si esige il pagamento in criptovaluta per decrittografare i file.
Blacksuit ottiene Blacksuit l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni accessibili al pubblico e utilizzando allegati o link dannosi.
Una volta entrati nella rete, gli hacker sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un livello di accesso più elevato.
Il gruppo ricorre a diverse tecniche per eludere i sistemi di rilevamento, tra cui la disattivazione degli strumenti di sicurezza, l'uso di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Blacksuit keylogger, strumenti per l'estrazione delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Effettuano un'approfondita attività di ricognizione all'interno della rete per comprenderne la struttura, individuando i sistemi critici e i dati sensibili.
Avvalendosi di strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente all'interno della rete per infettare altri sistemi.
Blacksuit e sottrae dati sensibili per costringere le vittime a pagare il riscatto. Si tratta spesso di dati finanziari, informazioni personali e informazioni aziendali riservate.
Il ransomware viene installato ed eseguito per crittografare i file presenti sui sistemi compromessi.
I dati vengono trasferiti su server esterni controllati dagli aggressori, spesso tramite canali crittografati per evitare di essere individuati.
La fase finale consiste nel crittografare i dati e i sistemi della vittima, rendendoli inutilizzabili. Viene quindi visualizzata una richiesta di riscatto in cui si esige il pagamento in criptovaluta per decrittografare i file.
TTP utilizzati da Blacksuit
Come rilevare Blacksuit Vectra AI
Domande frequenti
Cos'è Blacksuit ?
Blacksuit un gruppo di ransomware noto per prendere di mira settori delle infrastrutture critiche e per utilizzare tattiche avanzate per violare e crittografare le reti delle vittime.
In che modo Blacksuit ottiene Blacksuit l'accesso iniziale a una rete?
Spesso ricorrono a phishing , sfruttano le vulnerabilità delle applicazioni accessibili al pubblico e inviano allegati o link dannosi.
Quali sono i settori più spesso presi di mira da Blacksuit?
I settori principali interessati sono: istruzione, pubblica amministrazione, edilizia, servizi professionali e tecnici, commercio all'ingrosso e industria manifatturiera.
Quali tecniche Blacksuit per l'escalation dei privilegi?
Sfruttano le vulnerabilità dei software e utilizzano strumenti come Mimikatz per ottenere un livello di accesso più elevato.
In che modo Blacksuit riesce Blacksuit farsi scoprire?
Ricorrono a tecniche quali la disattivazione degli strumenti di sicurezza, l'offuscamento del codice e lo sfruttamento di processi di sistema affidabili.
Quali metodi utilizza Blacksuit l'accesso alle credenziali?
Utilizzano keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta.
In che modo Blacksuit spostamenti laterali all'interno di una rete?
Utilizzando strumenti amministrativi legittimi e credenziali compromesse per accedere ad altri sistemi.
Quali tipi di dati vengono Blacksuit ?
I dati finanziari, le informazioni personali e le informazioni aziendali riservate sono spesso oggetto di furti.
In che modo Blacksuit il payload del ransomware?
Il ransomware viene installato ed eseguito per crittografare i file presenti sui sistemi compromessi.
Quali sono alcune difese efficaci contro Blacksuit?
È fondamentale implementare solide phishing , applicare regolarmente le patch per le vulnerabilità, garantire una gestione rigorosa delle credenziali e adottare soluzioni di rilevamento e risposta estese (XDR).