Blacksuit
Blacksuit un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Presenta numerose somiglianze con Royal Ransomware, il che suggerisce che potrebbe trattarsi di uno spin-off o di un tentativo di rebranding.
L'origine di Blacksuit
Blacksuit un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Il gruppo presenta diverse somiglianze con Royal Ransomware, portando gli esperti a ipotizzare che Blacksuit essere uno spin-off o un rebranding del gruppo precedente.
Royal Ransomware, a sua volta una versione aggiornata di Conti, è diventato famoso per i suoi attacchi altamente mirati ai settori delle infrastrutture critiche e per i suoi sofisticati metodi di accesso iniziale, elevazione dei privilegi ed elusione dei sistemi di rilevamento.
Partendo da queste basi, Blacksuit continuare la tradizione con tecniche raffinate e un approccio mirato all'estorsione, prendendo di mira settori simili ad alto valore aggiunto e sfruttando tattiche avanzate per violare e crittografare le reti delle loro vittime.
Paesi presi di mira da Blacksuit
BlackSuit opera su scala globale, con attività significative segnalate in:
- Nord America: in particolare Stati Uniti e Canada.
- Europa: compresi incidenti degni di nota in Italia e nel Regno Unito.
- Asia: la Corea del Sud ha segnalato diversi attacchi.
- Sud America: il Brasile è un obiettivo importante in questa regione.
Settori target di Blacksuit
Secondo SOCradar, Blacksuit prende di mira Blacksuit i seguenti settori:
- Servizi educativi (22,7%): questo è il settore più colpito, il che riflette la vulnerabilità delle istituzioni educative agli attacchi ransomware.
- Pubblica amministrazione (13,6%): gli enti governativi sono spesso oggetto di attacchi che causano gravi interruzioni dei servizi pubblici.
- Edilizia, servizi professionali, scientifici e tecnici, commercio all'ingrosso, produzione (9,1% ciascuno): anche questi settori sono fortemente presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
- Altri settori: commercio al dettaglio, trasporti e magazzinaggio, servizi di informazione, arte, intrattenimento e tempo libero, assistenza sanitaria e altri servizi (4,5% ciascuno).
Le vittime Blacksuit
Blacksuit più di 96 vittime. Blacksuit le vittime di alto profilo di Blacksuit importanti istituti di istruzione, agenzie governative, società di costruzioni, società di servizi professionali e fornitori di assistenza sanitaria. Questi attacchi spesso provocano gravi interruzioni operative e violazioni dei dati.
Metodo di attacco Blacksuit
Blacksuit ottiene l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni pubbliche e utilizzando allegati o link dannosi.
Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.
Il gruppo utilizza varie tecniche per evitare di essere individuato, tra cui la disattivazione degli strumenti di sicurezza, l'uso di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Blacksuit keylogger, strumenti di dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Effettuano un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.
Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si muovono lateralmente attraverso la rete per infettare più sistemi.
Blacksuit ed esfiltra dati sensibili per costringere le vittime a pagare il riscatto. Questi dati includono spesso informazioni finanziarie, informazioni personali e informazioni commerciali riservate.
Il ransomware viene distribuito ed eseguito per crittografare i file sui sistemi compromessi.
I dati vengono sottratti e trasferiti a server esterni controllati dagli aggressori, spesso utilizzando canali crittografati per evitare di essere individuati.
La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una richiesta di riscatto, che esige il pagamento in criptovaluta per decrittografare i file.
Blacksuit ottiene l'accesso iniziale tramite phishing , sfruttando le vulnerabilità delle applicazioni pubbliche e utilizzando allegati o link dannosi.
Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.
Il gruppo utilizza varie tecniche per evitare di essere individuato, tra cui la disattivazione degli strumenti di sicurezza, l'uso di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Blacksuit keylogger, strumenti di dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Effettuano un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.
Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si muovono lateralmente attraverso la rete per infettare più sistemi.
Blacksuit ed esfiltra dati sensibili per costringere le vittime a pagare il riscatto. Questi dati includono spesso informazioni finanziarie, informazioni personali e informazioni commerciali riservate.
Il ransomware viene distribuito ed eseguito per crittografare i file sui sistemi compromessi.
I dati vengono sottratti e trasferiti a server esterni controllati dagli aggressori, spesso utilizzando canali crittografati per evitare di essere individuati.
La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una richiesta di riscatto, che esige il pagamento in criptovaluta per decrittografare i file.
TTP utilizzati da Blacksuit
Come rilevare Blacksuit Vectra AI
Domande frequenti
Che cos'è Blacksuit ?
Blacksuit un gruppo di ransomware noto per prendere di mira settori infrastrutturali critici e utilizzare tattiche avanzate per violare e crittografare le reti delle vittime.
In che modo Blacksuit ottiene Blacksuit l'accesso iniziale a una rete?
Spesso utilizzano phishing , sfruttano le vulnerabilità delle applicazioni pubbliche e inviano allegati o link dannosi.
Quali sono i settori più frequentemente presi di mira da Blacksuit?
I servizi educativi, la pubblica amministrazione, l'edilizia, i servizi professionali e tecnici, il commercio all'ingrosso e la produzione sono gli obiettivi principali.
Quali tecniche Blacksuit per l'escalation dei privilegi?
Sfruttano le vulnerabilità del software e utilizzano strumenti come Mimikatz per ottenere un accesso di livello superiore.
In che modo Blacksuit il rilevamento?
Utilizzano tecniche quali la disattivazione degli strumenti di sicurezza, l'offuscamento del codice e lo sfruttamento dei processi di sistema affidabili.
Quali metodi utilizza Blacksuit l'accesso alle credenziali?
Utilizzano keylogger, strumenti di dumping delle credenziali e attacchi di forza bruta.
Come Blacksuit i movimenti laterali all'interno di una rete?
Utilizzando strumenti amministrativi legittimi e credenziali compromesse per accedere a sistemi aggiuntivi.
Quali tipi di dati vengono Blacksuit ?
I dati finanziari, le informazioni personali e le informazioni commerciali riservate sono comunemente oggetto di esfiltrazione.
Come Blacksuit il payload del ransomware?
Il ransomware viene distribuito ed eseguito per crittografare i file sui sistemi compromessi.
Quali sono alcune difese efficaci contro Blacksuit?
È fondamentale implementare solide phishing , applicare regolarmente patch di sicurezza, adottare una gestione rigorosa delle credenziali e soluzioni di rilevamento e risposta estese (XDR).