Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

Tuta nera

Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Presenta numerose somiglianze con Royal Ransomware, il che suggerisce che potrebbe trattarsi di uno spinoff o di uno sforzo di rebranding.

Rilevare i TTP della tuta nera
La vostra organizzazione è al sicuro dagli attacchi di Blacksuit Ransomware?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

L'origine di Blacksuit

Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Il gruppo condivide varie somiglianze con Royal Ransomware, portando gli esperti a ipotizzare che Blacksuit possa essere uno spinoff o un rebranding del gruppo precedente.

Royal Ransomware, a sua volta un reboot di Conti, ha acquisito notorietà per i suoi attacchi altamente mirati a settori di infrastrutture critiche e per i suoi metodi sofisticati per ottenere l'accesso iniziale, elevare i privilegi ed eludere il rilevamento.

Partendo da queste basi, Blacksuit sembra continuare l'eredità con tecniche raffinate e un approccio mirato all'estorsione, prendendo di mira industrie simili ad alto valore e sfruttando tattiche avanzate per violare e criptare le reti delle loro vittime.

Cartografia: OCD

L'origine di Blacksuit
Obiettivi

Obiettivi di Blacksuit

Paesi presi di mira da Blacksuit

BlackSuit opera su scala globale, con attività significative segnalate in:

  • Nord America: In particolare gli Stati Uniti e il Canada.
  • Europa: compresi gli incidenti di rilievo in Italia e nel Regno Unito.
  • Asia: La Corea del Sud ha riportato diversi attacchi.
  • Sud America: Il Brasile è un obiettivo di rilievo all'interno di questa regione.

Fonte: SOCradar

Industrie prese di mira da Blacksuit

Secondo SOCradar, Blacksuit si rivolge prevalentemente ai seguenti settori:

  • Servizi educativi (22,7%): Questo è il settore più bersagliato, che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
  • Pubblica amministrazione (13,6%): Gli enti governativi vengono attaccati frequentemente, causando notevoli disagi ai servizi pubblici.
  • Costruzioni, Servizi professionali, scientifici e tecnici, Commercio all'ingrosso, Attività manifatturiere (9,1% ciascuno): Anche questi settori sono stati presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
  • Altre industrie: Comprendono il commercio al dettaglio, il trasporto e il magazzinaggio, i servizi di informazione, le arti, lo spettacolo e il tempo libero, l'assistenza sanitaria e altri servizi (4,5% ciascuno).

Industrie prese di mira da Blacksuit

Secondo SOCradar, Blacksuit si rivolge prevalentemente ai seguenti settori:

  • Servizi educativi (22,7%): Questo è il settore più bersagliato, che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
  • Pubblica amministrazione (13,6%): Gli enti governativi vengono attaccati frequentemente, causando notevoli disagi ai servizi pubblici.
  • Costruzioni, Servizi professionali, scientifici e tecnici, Commercio all'ingrosso, Attività manifatturiere (9,1% ciascuno): Anche questi settori sono stati presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
  • Altre industrie: Comprendono il commercio al dettaglio, il trasporto e il magazzinaggio, i servizi di informazione, le arti, lo spettacolo e il tempo libero, l'assistenza sanitaria e altri servizi (4,5% ciascuno).

Le vittime di Blacksuit

Blacksuit ha preso di mira più di 96 vittime. Tra le vittime di alto profilo di Blacksuit figurano importanti istituti scolastici, agenzie governative, imprese edili, società di servizi professionali e fornitori di servizi sanitari. Questi attacchi spesso causano interruzioni operative e violazioni di dati significative.

Immagine: ransomware.live

Metodo di attacco

Metodo di attacco di Blacksuit

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Blacksuit spesso ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Blacksuit spesso ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.

MITRE ATT&CK Mappatura

TTP utilizzati da Blacksuit

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare la tuta nera con Vectra AI

External Remote Access

Ransomware File Activity

Suspicious Remote Desktop Protocol

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è il ransomware Blacksuit?

Blacksuit è un gruppo di ransomware noto per aver preso di mira i settori delle infrastrutture critiche e per aver utilizzato tattiche avanzate per violare e criptare le reti delle vittime.

Come fa Blacksuit a ottenere l'accesso iniziale a una rete?

Spesso utilizzano le e-mail di phishing , sfruttano le vulnerabilità delle applicazioni rivolte al pubblico e inviano allegati o link dannosi.

Quali sono i settori più frequentemente presi di mira da Blacksuit?

I servizi educativi, la pubblica amministrazione, l'edilizia, i servizi professionali e tecnici, il commercio all'ingrosso e l'industria manifatturiera sono gli obiettivi principali.

Quali tecniche utilizza Blacksuit per l'escalation dei privilegi?

Sfruttano le vulnerabilità del software e utilizzano strumenti come Mimikatz per ottenere un accesso di livello superiore.

Come fa Blacksuit a eludere il rilevamento?

Utilizzano tecniche come la disabilitazione degli strumenti di sicurezza, l'offuscamento del codice e lo sfruttamento dei processi di sistema affidabili.

Quali sono i metodi utilizzati da Blacksuit per l'accesso alle credenziali?

Utilizzano keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta.

In che modo i Blacksuit eseguono il movimento laterale all'interno di una rete?

Utilizzando strumenti amministrativi legittimi e credenziali compromesse per accedere ad altri sistemi.

Quali tipi di dati vengono esfiltrati da Blacksuit?

I dati finanziari, le informazioni personali e le informazioni aziendali proprietarie vengono comunemente esfiltrate.

Come Blacksuit esegue il payload del ransomware?

Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.

Quali sono le difese efficaci contro il Blacksuit?

L'implementazione di solide difese phishing , di patch di vulnerabilità regolari, di una solida gestione delle credenziali e di soluzioni di rilevamento e risposta estese (XDR) sono fondamentali.

La vostra organizzazione è al sicuro dagli attacchi di Blacksuit Ransomware?

Valutare l'esposizione agli attacchi