Blacksuit
Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Presenta numerose somiglianze con Royal Ransomware, il che suggerisce che potrebbe trattarsi di uno spinoff o di uno sforzo di rebranding.

L'origine di Blacksuit
Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Il gruppo condivide varie somiglianze con Royal Ransomware, portando gli esperti a ipotizzare che Blacksuit possa essere uno spinoff o un rebranding del gruppo precedente.
Royal Ransomware, a sua volta un reboot di Conti, ha acquisito notorietà per i suoi attacchi altamente mirati a settori di infrastrutture critiche e per i suoi metodi sofisticati per ottenere l'accesso iniziale, elevare i privilegi ed eludere il rilevamento.
Partendo da queste basi, Blacksuit sembra continuare l'eredità con tecniche raffinate e un approccio mirato all'estorsione, prendendo di mira industrie simili ad alto valore e sfruttando tattiche avanzate per violare e criptare le reti delle loro vittime.
Cartografia: OCD
Paesi presi di mira da Blacksuit
BlackSuit opera su scala globale, con attività significative segnalate in:
- Nord America: In particolare gli Stati Uniti e il Canada.
- Europa: compresi gli incidenti di rilievo in Italia e nel Regno Unito.
- Asia: La Corea del Sud ha riportato diversi attacchi.
- Sud America: Il Brasile è un obiettivo di rilievo all'interno di questa regione.
Fonte: SOCradar
Industrie prese di mira da Blacksuit
Secondo SOCradar, Blacksuit si rivolge prevalentemente ai seguenti settori:
- Servizi educativi (22,7%): Questo è il settore più bersagliato, che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
- Pubblica amministrazione (13,6%): Gli enti governativi vengono attaccati frequentemente, causando notevoli disagi ai servizi pubblici.
- Costruzioni, Servizi professionali, scientifici e tecnici, Commercio all'ingrosso, Attività manifatturiere (9,1% ciascuno): Anche questi settori sono stati presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
- Altre industrie: Comprendono il commercio al dettaglio, il trasporto e il magazzinaggio, i servizi di informazione, le arti, lo spettacolo e il tempo libero, l'assistenza sanitaria e altri servizi (4,5% ciascuno).
Vittime di Blacksuit
Blacksuit ha preso di mira più di 96 vittime. Tra le vittime di alto profilo di Blacksuit figurano importanti istituti scolastici, agenzie governative, imprese edili, società di servizi professionali e fornitori di servizi sanitari. Questi attacchi spesso causano interruzioni operative e violazioni di dati significative.
Immagine: ransomware.live
Metodo di attacco di Blacksuit

Blacksuit spesso ottiene l'accesso iniziale attraverso e-mail phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.

Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.

Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.

Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.

Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.

Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.

Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.

Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.

I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.

La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.

Blacksuit spesso ottiene l'accesso iniziale attraverso e-mail phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.

Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.

Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.

Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.

Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.

Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.

Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.

Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.

I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.

La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.
TTP utilizzati da Blacksuit
Come individuare la Blacksuit con Vectra AI
DOMANDE FREQUENTI
Che cos'è il ransomware Blacksuit ?
Blacksuit è un gruppo di ransomware noto per aver preso di mira i settori delle infrastrutture critiche e per aver utilizzato tattiche avanzate per violare e criptare le reti delle vittime.
Come fa Blacksuit a ottenere l'accesso iniziale a una rete?
Spesso utilizzano le e-mail di phishing , sfruttano le vulnerabilità delle applicazioni rivolte al pubblico e inviano allegati o link dannosi.
Quali sono i settori più frequentemente presi di mira da Blacksuit?
I servizi educativi, la pubblica amministrazione, l'edilizia, i servizi professionali e tecnici, il commercio all'ingrosso e l'industria manifatturiera sono gli obiettivi principali.
Quali tecniche utilizza Blacksuit per l'escalation dei privilegi?
Sfruttano le vulnerabilità del software e utilizzano strumenti come Mimikatz per ottenere un accesso di livello superiore.
Come fa Blacksuit a eludere il rilevamento?
Utilizzano tecniche come la disabilitazione degli strumenti di sicurezza, l'offuscamento del codice e lo sfruttamento dei processi di sistema affidabili.
Quali sono i metodi utilizzati da Blacksuit per l'accesso alle credenziali?
Utilizzano keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta.
In che modo i Blacksuit eseguono il movimento laterale all'interno di una rete?
Utilizzando strumenti amministrativi legittimi e credenziali compromesse per accedere ad altri sistemi.
Quali tipi di dati vengono esfiltrati da Blacksuit ?
I dati finanziari, le informazioni personali e le informazioni aziendali proprietarie vengono comunemente esfiltrate.
Come Blacksuit esegue il payload del ransomware?
Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.
Quali sono le difese efficaci contro il Blacksuit?
L'implementazione di solide difese phishing , di patch di vulnerabilità regolari, di una solida gestione delle credenziali e di soluzioni di rilevamento e risposta estese (XDR) sono fondamentali.