Traje negro
Blacksuit es un grupo privado de ransomware/extorsión que surgió a principios de abril/mayo de 2023. Tiene numerosas similitudes con Royal Ransomware, lo que sugiere que puede ser un spin-off o un esfuerzo de cambio de marca.
El origen de Blacksuit
Blacksuit es un grupo privado de ransomware/extorsión que surgió a principios de abril/mayo de 2023. El grupo comparte varias similitudes con Royal Ransomware, lo que lleva a los expertos a especular que Blacksuit puede ser una escisión o un cambio de marca del grupo anterior.
Royal Ransomware, en sí mismo un reinicio de Conti, ganó notoriedad por sus ataques altamente dirigidos a sectores de infraestructura crítica y sus sofisticados métodos para obtener acceso inicial, elevar privilegios y evadir la detección.
Sobre esta base, Blacksuit parece continuar el legado con técnicas refinadas y un enfoque centrado en la extorsión, apuntando a industrias similares de alto valor y aprovechando tácticas avanzadas para violar y cifrar las redes de sus víctimas.
Cartografía: OCD
Objetivos
Objetivos de Blacksuit
Países a los que se dirige Blacksuit
BlackSuit opera a escala global, con una actividad significativa reportada en:
- América del Norte: Particularmente Estados Unidos y Canadá.
- Europa: Incluyendo incidentes notables en Italia y el Reino Unido.
- Asia: Corea del Sur ha reportado múltiples ataques.
- América del Sur: Brasil es un objetivo notable dentro de esta región.
Fuente: SOCradar
Industrias a las que se dirige Blacksuit
Según SOCradar, Blacksuit se dirige principalmente a las siguientes industrias:
- Servicios educativos (22,7%): Este es el sector más atacado, lo que refleja la vulnerabilidad de las instituciones educativas a los ataques de ransomware.
- Administración Pública (13,6%): Los organismos gubernamentales son atacados con frecuencia, lo que provoca importantes trastornos en los servicios públicos.
- Construcción, Servicios Profesionales, Científicos y Técnicos, Comercio al por Mayor, Manufactura (9,1% cada uno): Estos sectores también son muy atacados debido a su naturaleza crítica y al alto impacto potencial de las interrupciones.
- Otras industrias: Incluyendo Comercio al por menor, Transporte y almacenamiento, Servicios de información, Artes, Entretenimiento y Recreación, Atención médica y otros servicios (4.5% cada uno).
Industrias a las que se dirige Blacksuit
Según SOCradar, Blacksuit se dirige principalmente a las siguientes industrias:
- Servicios educativos (22,7%): Este es el sector más atacado, lo que refleja la vulnerabilidad de las instituciones educativas a los ataques de ransomware.
- Administración Pública (13,6%): Los organismos gubernamentales son atacados con frecuencia, lo que provoca importantes trastornos en los servicios públicos.
- Construcción, Servicios Profesionales, Científicos y Técnicos, Comercio al por Mayor, Manufactura (9,1% cada uno): Estos sectores también son muy atacados debido a su naturaleza crítica y al alto impacto potencial de las interrupciones.
- Otras industrias: Incluyendo Comercio al por menor, Transporte y almacenamiento, Servicios de información, Artes, Entretenimiento y Recreación, Atención médica y otros servicios (4.5% cada uno).
Víctimas de Blacksuit
Blacksuit atacó a más de 96 víctimas. Las víctimas de alto perfil de Blacksuit incluyen importantes instituciones educativas, agencias gubernamentales, empresas de construcción, empresas de servicios profesionales y proveedores de atención médica. Estos ataques a menudo resultan en interrupciones operativas significativas y violaciones de datos.
Imagen: ransomware.live
Método de ataque
Método de ataque de Blacksuit
Blacksuit suele obtener acceso inicial a través de correos electrónicos de phishing , aprovechando vulnerabilidades en aplicaciones de cara al público y empleando archivos adjuntos o enlaces maliciosos.
Una vez dentro de la red, los atacantes explotan las vulnerabilidades para elevar sus privilegios, a menudo utilizando herramientas como Mimikatz para obtener acceso de mayor nivel.
El grupo emplea varias técnicas para evitar la detección, incluida la desactivación de herramientas de seguridad, el uso de código ofuscado y el aprovechamiento de procesos de sistema confiables.
Blacksuit utiliza keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta para recopilar nombres de usuario y contraseñas.
Llevan a cabo un amplio reconocimiento dentro de la red para comprender su estructura, identificando sistemas críticos y datos confidenciales.
Utilizando herramientas administrativas legítimas y credenciales comprometidas, los atacantes se mueven lateralmente a través de la red para infectar más sistemas.
Blacksuit recopila y exfiltra datos confidenciales para presionar a las víctimas para que paguen el rescate. Esto a menudo incluye datos financieros, información personal e información comercial patentada.
El ransomware se despliega y ejecuta para cifrar los archivos de los sistemas comprometidos.
Los datos se filtran a servidores externos controlados por los atacantes, a menudo utilizando canales cifrados para evitar la detección.
La etapa final consiste en cifrar los datos y sistemas de la víctima, dejándolos inutilizables. A continuación, se presenta una nota de rescate, exigiendo el pago en criptomoneda para descifrar los archivos.
Acceso inicial
Blacksuit suele obtener acceso inicial a través de correos electrónicos de phishing , aprovechando vulnerabilidades en aplicaciones de cara al público y empleando archivos adjuntos o enlaces maliciosos.
Escalada de privilegios
Una vez dentro de la red, los atacantes explotan las vulnerabilidades para elevar sus privilegios, a menudo utilizando herramientas como Mimikatz para obtener acceso de mayor nivel.
Defensa Evasión
El grupo emplea varias técnicas para evitar la detección, incluida la desactivación de herramientas de seguridad, el uso de código ofuscado y el aprovechamiento de procesos de sistema confiables.
Acceso con credenciales
Blacksuit utiliza keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta para recopilar nombres de usuario y contraseñas.
Descubrimiento
Llevan a cabo un amplio reconocimiento dentro de la red para comprender su estructura, identificando sistemas críticos y datos confidenciales.
Movimiento lateral
Utilizando herramientas administrativas legítimas y credenciales comprometidas, los atacantes se mueven lateralmente a través de la red para infectar más sistemas.
Colección
Blacksuit recopila y exfiltra datos confidenciales para presionar a las víctimas para que paguen el rescate. Esto a menudo incluye datos financieros, información personal e información comercial patentada.
Ejecución
El ransomware se despliega y ejecuta para cifrar los archivos de los sistemas comprometidos.
Exfiltración
Los datos se filtran a servidores externos controlados por los atacantes, a menudo utilizando canales cifrados para evitar la detección.
Impacto
La etapa final consiste en cifrar los datos y sistemas de la víctima, dejándolos inutilizables. A continuación, se presenta una nota de rescate, exigiendo el pago en criptomoneda para descifrar los archivos.
MITRE ATT&CK Cartografía
TTPs utilizados por Blacksuit
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar el traje negro con Vectra AI
Preguntas frecuentes
¿Qué es el ransomware Blacksuit?
Blacksuit es un grupo de ransomware conocido por atacar sectores de infraestructura crítica y utilizar tácticas avanzadas para violar y cifrar las redes de las víctimas.
¿Cómo suele obtener Blacksuit el acceso inicial a una red?
A menudo utilizan correos electrónicos de phishing , aprovechan vulnerabilidades en aplicaciones de cara al público y envían archivos adjuntos o enlaces maliciosos.
¿Qué sectores son el objetivo más frecuente de Blacksuit?
Los servicios educativos, la administración pública, la construcción, los servicios profesionales y técnicos, el comercio al por mayor y la industria manufacturera son los principales objetivos.
¿Qué técnicas utiliza Blacksuit para la escalada de privilegios?
Explotan las vulnerabilidades del software y utilizan herramientas como Mimikatz para obtener acceso de mayor nivel.
¿Cómo evade Blacksuit la detección?
Utilizan técnicas como la desactivación de herramientas de seguridad, la ofuscación de código y el aprovechamiento de procesos de sistemas de confianza.
¿Qué métodos utiliza Blacksuit para el acceso a las credenciales?
Emplean keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta.
¿Cómo realiza Blacksuit el movimiento lateral dentro de una red?
Mediante el uso de herramientas administrativas legítimas y credenciales comprometidas para acceder a sistemas adicionales.
¿Qué tipos de datos exfiltra Blacksuit?
Los datos financieros, la información personal y la información comercial patentada se filtran comúnmente.
¿Cómo ejecuta Blacksuit la carga útil del ransomware?
El ransomware se despliega y ejecuta para cifrar archivos en los sistemas comprometidos.
¿Cuáles son algunas defensas efectivas contra Blacksuit?
La implantación de defensas sólidas en phishing , la aplicación periódica de parches contra vulnerabilidades, una sólida gestión de credenciales y soluciones de detección y respuesta ampliadas (XDR) son cruciales.