Blacksuit
Blacksuit es un grupo privado de ransomware/extorsión que apareció a principios de abril/mayo de 2023. Presenta numerosas similitudes con Royal Ransomware, lo que sugiere que podría tratarse de un spinoff o un intento de rebranding.
El origen de Blacksuit
Blacksuit es un grupo privado de ransomware/extorsión que surgió a principios de abril/mayo de 2023. El grupo comparte varias similitudes con Royal Ransomware, lo que lleva a los expertos a especular con la posibilidad de que Blacksuit sea un spinoff o un rebranding del grupo anterior.
Royal Ransomware, en sí mismo un reinicio de Conti, ganó notoriedad por sus ataques altamente dirigidos a sectores de infraestructura crítica y sus sofisticados métodos para obtener acceso inicial, elevar privilegios y evadir la detección.
Sobre esta base, Blacksuit parece continuar el legado con técnicas refinadas y un enfoque centrado en la extorsión, dirigiéndose a industrias similares de alto valor y aprovechando tácticas avanzadas para violar y cifrar las redes de sus víctimas.
Cartografía: OCD
Objetivos
Objetivos de Blacksuit
Países objetivo de Blacksuit
BlackSuit opera a escala global, con una actividad significativa reportada en:
- América del Norte: Particularmente Estados Unidos y Canadá.
- Europa: Incluyendo incidentes notables en Italia y el Reino Unido.
- Asia: Corea del Sur ha reportado múltiples ataques.
- América del Sur: Brasil es un objetivo notable dentro de esta región.
Fuente: SOCradar
Industrias objetivo de Blacksuit
Según SOCradar, Blacksuit se dirige principalmente a los siguientes sectores:
- Servicios educativos (22,7%): Este es el sector más atacado, lo que refleja la vulnerabilidad de las instituciones educativas a los ataques de ransomware.
- Administración Pública (13,6%): Los organismos gubernamentales son atacados con frecuencia, lo que provoca importantes trastornos en los servicios públicos.
- Construcción, Servicios Profesionales, Científicos y Técnicos, Comercio al por Mayor, Manufactura (9,1% cada uno): Estos sectores también son muy atacados debido a su naturaleza crítica y al alto impacto potencial de las interrupciones.
- Otras industrias: Incluyendo Comercio al por menor, Transporte y almacenamiento, Servicios de información, Artes, Entretenimiento y Recreación, Atención médica y otros servicios (4.5% cada uno).
Industrias objetivo de Blacksuit
Según SOCradar, Blacksuit se dirige principalmente a los siguientes sectores:
- Servicios educativos (22,7%): Este es el sector más atacado, lo que refleja la vulnerabilidad de las instituciones educativas a los ataques de ransomware.
- Administración Pública (13,6%): Los organismos gubernamentales son atacados con frecuencia, lo que provoca importantes trastornos en los servicios públicos.
- Construcción, Servicios Profesionales, Científicos y Técnicos, Comercio al por Mayor, Manufactura (9,1% cada uno): Estos sectores también son muy atacados debido a su naturaleza crítica y al alto impacto potencial de las interrupciones.
- Otras industrias: Incluyendo Comercio al por menor, Transporte y almacenamiento, Servicios de información, Artes, Entretenimiento y Recreación, Atención médica y otros servicios (4.5% cada uno).
Víctimas de Blacksuit
Blacksuit atacó a más de 96 víctimas. Entre las víctimas más destacadas de Blacksuit se encuentran importantes instituciones educativas, organismos públicos, empresas de construcción, empresas de servicios profesionales y proveedores de atención sanitaria. Estos ataques suelen provocar importantes trastornos operativos y filtraciones de datos.
Imagen: ransomware.live
Método de ataque
Método de ataque de Blacksuit
Blacksuit suele obtener acceso inicial a través de correos electrónicos phishing , explotando vulnerabilidades en aplicaciones de cara al público y empleando archivos adjuntos o enlaces maliciosos.
Una vez dentro de la red, los atacantes explotan las vulnerabilidades para elevar sus privilegios, a menudo utilizando herramientas como Mimikatz para obtener acceso de mayor nivel.
El grupo emplea varias técnicas para evitar la detección, incluida la desactivación de herramientas de seguridad, el uso de código ofuscado y el aprovechamiento de procesos de sistema confiables.
Blacksuit utiliza keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta para recopilar nombres de usuario y contraseñas.
Llevan a cabo un amplio reconocimiento dentro de la red para comprender su estructura, identificando sistemas críticos y datos confidenciales.
Utilizando herramientas administrativas legítimas y credenciales comprometidas, los atacantes se mueven lateralmente a través de la red para infectar más sistemas.
Blacksuit recopila y extrae datos confidenciales para presionar a las víctimas a pagar el rescate. Esto suele incluir datos financieros, información personal e información comercial privada.
El ransomware se despliega y ejecuta para cifrar los archivos de los sistemas comprometidos.
Los datos se filtran a servidores externos controlados por los atacantes, a menudo utilizando canales cifrados para evitar la detección.
La etapa final consiste en cifrar los datos y sistemas de la víctima, dejándolos inutilizables. A continuación, se presenta una nota de rescate, exigiendo el pago en criptomoneda para descifrar los archivos.
Acceso inicial
Blacksuit suele obtener acceso inicial a través de correos electrónicos phishing , explotando vulnerabilidades en aplicaciones de cara al público y empleando archivos adjuntos o enlaces maliciosos.
Escalada de privilegios
Una vez dentro de la red, los atacantes explotan las vulnerabilidades para elevar sus privilegios, a menudo utilizando herramientas como Mimikatz para obtener acceso de mayor nivel.
Defensa Evasión
El grupo emplea varias técnicas para evitar la detección, incluida la desactivación de herramientas de seguridad, el uso de código ofuscado y el aprovechamiento de procesos de sistema confiables.
Acceso con credenciales
Blacksuit utiliza keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta para recopilar nombres de usuario y contraseñas.
Descubrimiento
Llevan a cabo un amplio reconocimiento dentro de la red para comprender su estructura, identificando sistemas críticos y datos confidenciales.
Movimiento lateral
Utilizando herramientas administrativas legítimas y credenciales comprometidas, los atacantes se mueven lateralmente a través de la red para infectar más sistemas.
Colección
Blacksuit recopila y extrae datos confidenciales para presionar a las víctimas a pagar el rescate. Esto suele incluir datos financieros, información personal e información comercial privada.
Ejecución
El ransomware se despliega y ejecuta para cifrar los archivos de los sistemas comprometidos.
Exfiltración
Los datos se filtran a servidores externos controlados por los atacantes, a menudo utilizando canales cifrados para evitar la detección.
Impacto
La etapa final consiste en cifrar los datos y sistemas de la víctima, dejándolos inutilizables. A continuación, se presenta una nota de rescate, exigiendo el pago en criptomoneda para descifrar los archivos.
MITRE ATT&CK Cartografía
TTPs utilizados por Blacksuit
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar Blacksuit con Vectra AI
Preguntas frecuentes
¿Qué es el ransomware Blacksuit ?
Blacksuit es un grupo de ransomware conocido por atacar sectores de infraestructuras críticas y utilizar tácticas avanzadas para violar y cifrar las redes de las víctimas.
¿Cómo suele Blacksuit obtener acceso inicial a una red?
A menudo utilizan correos electrónicos de phishing , aprovechan vulnerabilidades en aplicaciones de cara al público y envían archivos adjuntos o enlaces maliciosos.
¿Cuáles son los sectores más atacados por Blacksuit?
Los servicios educativos, la administración pública, la construcción, los servicios profesionales y técnicos, el comercio al por mayor y la industria manufacturera son los principales objetivos.
¿Qué técnicas utiliza Blacksuit para la escalada de privilegios?
Explotan las vulnerabilidades del software y utilizan herramientas como Mimikatz para obtener acceso de mayor nivel.
¿Cómo consigue Blacksuit eludir la detección?
Utilizan técnicas como la desactivación de herramientas de seguridad, la ofuscación de código y el aprovechamiento de procesos de sistemas de confianza.
¿Qué métodos utiliza Blacksuit para acceder a las credenciales?
Emplean keyloggers, herramientas de volcado de credenciales y ataques de fuerza bruta.
¿Cómo realizan Blacksuit los movimientos laterales dentro de una red?
Mediante el uso de herramientas administrativas legítimas y credenciales comprometidas para acceder a sistemas adicionales.
¿Qué tipo de datos exfiltra Blacksuit ?
Los datos financieros, la información personal y la información comercial patentada se filtran comúnmente.
¿Cómo ejecuta Blacksuit la carga útil del ransomware?
El ransomware se despliega y ejecuta para cifrar archivos en los sistemas comprometidos.
¿Cuáles son algunas defensas eficaces contra Blacksuit?
La implantación de defensas sólidas en phishing , la aplicación periódica de parches contra vulnerabilidades, una sólida gestión de credenciales y soluciones de detección y respuesta ampliadas (XDR) son cruciales.