Tuta nera
Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Presenta numerose somiglianze con Royal Ransomware, il che suggerisce che potrebbe trattarsi di uno spinoff o di uno sforzo di rebranding.
L'origine di Blacksuit
Blacksuit è un gruppo privato di ransomware/estorsione emerso all'inizio di aprile/maggio del 2023. Il gruppo condivide varie somiglianze con Royal Ransomware, portando gli esperti a ipotizzare che Blacksuit possa essere uno spinoff o un rebranding del gruppo precedente.
Royal Ransomware, a sua volta un reboot di Conti, ha acquisito notorietà per i suoi attacchi altamente mirati a settori di infrastrutture critiche e per i suoi metodi sofisticati per ottenere l'accesso iniziale, elevare i privilegi ed eludere il rilevamento.
Partendo da queste basi, Blacksuit sembra continuare l'eredità con tecniche raffinate e un approccio mirato all'estorsione, prendendo di mira industrie simili ad alto valore e sfruttando tattiche avanzate per violare e criptare le reti delle loro vittime.
Cartografia: OCD
Obiettivi
Obiettivi di Blacksuit
Paesi presi di mira da Blacksuit
BlackSuit opera su scala globale, con attività significative segnalate in:
- Nord America: In particolare gli Stati Uniti e il Canada.
- Europa: compresi gli incidenti di rilievo in Italia e nel Regno Unito.
- Asia: La Corea del Sud ha riportato diversi attacchi.
- Sud America: Il Brasile è un obiettivo di rilievo all'interno di questa regione.
Fonte: SOCradar
Industrie prese di mira da Blacksuit
Secondo SOCradar, Blacksuit si rivolge prevalentemente ai seguenti settori:
- Servizi educativi (22,7%): Questo è il settore più bersagliato, che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
- Pubblica amministrazione (13,6%): Gli enti governativi vengono attaccati frequentemente, causando notevoli disagi ai servizi pubblici.
- Costruzioni, Servizi professionali, scientifici e tecnici, Commercio all'ingrosso, Attività manifatturiere (9,1% ciascuno): Anche questi settori sono stati presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
- Altre industrie: Comprendono il commercio al dettaglio, il trasporto e il magazzinaggio, i servizi di informazione, le arti, lo spettacolo e il tempo libero, l'assistenza sanitaria e altri servizi (4,5% ciascuno).
Industrie prese di mira da Blacksuit
Secondo SOCradar, Blacksuit si rivolge prevalentemente ai seguenti settori:
- Servizi educativi (22,7%): Questo è il settore più bersagliato, che riflette la vulnerabilità degli istituti scolastici agli attacchi ransomware.
- Pubblica amministrazione (13,6%): Gli enti governativi vengono attaccati frequentemente, causando notevoli disagi ai servizi pubblici.
- Costruzioni, Servizi professionali, scientifici e tecnici, Commercio all'ingrosso, Attività manifatturiere (9,1% ciascuno): Anche questi settori sono stati presi di mira a causa della loro natura critica e del potenziale impatto elevato delle interruzioni.
- Altre industrie: Comprendono il commercio al dettaglio, il trasporto e il magazzinaggio, i servizi di informazione, le arti, lo spettacolo e il tempo libero, l'assistenza sanitaria e altri servizi (4,5% ciascuno).
Le vittime di Blacksuit
Blacksuit ha preso di mira più di 96 vittime. Tra le vittime di alto profilo di Blacksuit figurano importanti istituti scolastici, agenzie governative, imprese edili, società di servizi professionali e fornitori di servizi sanitari. Questi attacchi spesso causano interruzioni operative e violazioni di dati significative.
Immagine: ransomware.live
Metodo di attacco
Metodo di attacco di Blacksuit
Blacksuit spesso ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.
Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.
Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.
Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.
Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.
Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.
I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.
La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.
Accesso iniziale
Blacksuit spesso ottiene l'accesso iniziale attraverso le e-mail di phishing , sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando allegati o link dannosi.
Escalation dei privilegi
Una volta entrati nella rete, gli aggressori sfruttano le vulnerabilità per elevare i propri privilegi, spesso utilizzando strumenti come Mimikatz per ottenere un accesso di livello superiore.
Difesa Evasione
Il gruppo impiega varie tecniche per evitare il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza, l'utilizzo di codice offuscato e lo sfruttamento di processi di sistema affidabili.
Accesso alle credenziali
Blacksuit utilizza keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta per raccogliere nomi utente e password.
Scoperta
Eseguono un'ampia ricognizione all'interno della rete per comprenderne la struttura, identificando i sistemi critici e i dati sensibili.
Movimento laterale
Utilizzando strumenti amministrativi legittimi e credenziali compromesse, gli aggressori si spostano lateralmente attraverso la rete per infettare altri sistemi.
Collezione
Blacksuit raccoglie ed esfiltra dati sensibili per spingere le vittime a pagare il riscatto. Spesso si tratta di dati finanziari, informazioni personali e informazioni aziendali proprietarie.
Esecuzione
Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.
Esfiltrazione
I dati vengono esfiltrati su server esterni controllati dagli aggressori, spesso utilizzando canali criptati per evitare il rilevamento.
Impatto
La fase finale prevede la crittografia dei dati e dei sistemi della vittima, rendendoli inutilizzabili. Viene quindi presentata una nota di riscatto che richiede il pagamento in criptovaluta per decriptare i file.
MITRE ATT&CK Mappatura
TTP utilizzati da Blacksuit
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare la tuta nera con Vectra AI
DOMANDE FREQUENTI
Che cos'è il ransomware Blacksuit?
Blacksuit è un gruppo di ransomware noto per aver preso di mira i settori delle infrastrutture critiche e per aver utilizzato tattiche avanzate per violare e criptare le reti delle vittime.
Come fa Blacksuit a ottenere l'accesso iniziale a una rete?
Spesso utilizzano le e-mail di phishing , sfruttano le vulnerabilità delle applicazioni rivolte al pubblico e inviano allegati o link dannosi.
Quali sono i settori più frequentemente presi di mira da Blacksuit?
I servizi educativi, la pubblica amministrazione, l'edilizia, i servizi professionali e tecnici, il commercio all'ingrosso e l'industria manifatturiera sono gli obiettivi principali.
Quali tecniche utilizza Blacksuit per l'escalation dei privilegi?
Sfruttano le vulnerabilità del software e utilizzano strumenti come Mimikatz per ottenere un accesso di livello superiore.
Come fa Blacksuit a eludere il rilevamento?
Utilizzano tecniche come la disabilitazione degli strumenti di sicurezza, l'offuscamento del codice e lo sfruttamento dei processi di sistema affidabili.
Quali sono i metodi utilizzati da Blacksuit per l'accesso alle credenziali?
Utilizzano keylogger, strumenti per il dumping delle credenziali e attacchi di forza bruta.
In che modo i Blacksuit eseguono il movimento laterale all'interno di una rete?
Utilizzando strumenti amministrativi legittimi e credenziali compromesse per accedere ad altri sistemi.
Quali tipi di dati vengono esfiltrati da Blacksuit?
I dati finanziari, le informazioni personali e le informazioni aziendali proprietarie vengono comunemente esfiltrate.
Come Blacksuit esegue il payload del ransomware?
Il ransomware viene distribuito ed eseguito per criptare i file sui sistemi compromessi.
Quali sono le difese efficaci contro il Blacksuit?
L'implementazione di solide difese phishing , di patch di vulnerabilità regolari, di una solida gestione delle credenziali e di soluzioni di rilevamento e risposta estese (XDR) sono fondamentali.