Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Ransomware Gruppe

Blacksuit

Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Sie weist zahlreiche Ähnlichkeiten mit Royal Ransomware , was darauf hindeutet, dass es sich möglicherweise um ein Spin-off oder eine Umbenennungsmaßnahme handelt.

Erkennen Blacksuit TTPs
Ist Ihr Unternehmen sicher vor Blacksuit Ransomware Angriffe?
Hintergrund und Ziele
TTPs
MITRE Kartierung
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing
HINTERGRUND
LÄNDER
INDUSTRIEN
VICTIMS

Der Ursprung von Blacksuit

Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Die Gruppe hat verschiedene Ähnlichkeiten mit Royal Ransomware , was Experten zu der Vermutung veranlasste, dass Blacksuit könnte eine Ausgliederung oder Umbenennung der früheren Gruppe sein.

Royal Ransomware, selbst ein Neustart von Conti, erlangte Berühmtheit für seine gezielten Angriffe auf kritische Infrastrukturen und seine ausgeklügelten Methoden, um sich Zugang zu verschaffen, die Rechte zu erhöhen und die Entdeckung zu umgehen.

Aufbauend auf dieser Grundlage, Blacksuit scheint dieses Erbe mit ausgefeilten Techniken und einem gezielten Erpressungsansatz fortzuführen, indem es auf ähnlich wertvolle Branchen abzielt und fortschrittliche Taktiken nutzt, um in die Netzwerke seiner Opfer einzudringen und sie zu verschlüsseln.

Kartographie: OCD

Länder, die Ziel von Blacksuit

BlackSuit ist weltweit tätig, mit bedeutenden Aktivitäten in:

  • Nordamerika: Insbesondere die Vereinigten Staaten und Kanada.
  • Europa: Einschließlich bemerkenswerter Vorfälle in Italien und im Vereinigten Königreich.
  • Asien: Südkorea hat mehrere Anschläge gemeldet.
  • Südamerika: Brasilien ist ein bemerkenswertes Ziel innerhalb dieser Region.

Quelle: SOCradar

Branchen im Visier von Blacksuit

Laut SOCradar Blacksuit zielt vorwiegend auf folgende Branchen ab:

  • Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
  • Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
  • Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
  • Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).

Blacksuit Opfer

Blacksuit mehr als 96 Opfer im Visier. Prominente Opfer von Blacksuit Dazu zählen große Bildungseinrichtungen, Regierungsbehörden, Bauunternehmen, professionelle Dienstleistungsunternehmen und Gesundheitsdienstleister. Diese Angriffe führen häufig zu erheblichen Betriebsstörungen und Datenverlusten.

Bild: ransomware.live

Angriffsmethode

Blacksuit Angriffsmethode

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.

Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung

Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.

Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.

MITRE ATT&CK Kartierung

TTPs verwendet von Blacksuit

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

So erkennen Sie Blacksuit mit Vectra AI

External Remote Access

Ransomware File Activity

Suspicious Remote Desktop Protocol

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist Blacksuit ransomware ?

Blacksuit ist ein ransomware Eine Gruppe, die dafür bekannt ist, kritische Infrastrukturbereiche ins Visier zu nehmen und hochentwickelte Taktiken einzusetzen, um in die Netzwerke der Opfer einzudringen und diese zu verschlüsseln.

Wie funktioniert Blacksuit erhält man normalerweise erstmals Zugriff auf ein Netzwerk?

Sie verwenden häufig phishing E-Mails, nutzen Schwachstellen in öffentlich zugänglichen Anwendungen aus und versenden bösartige Anhänge oder Links.

Welche Branchen sind am häufigsten im Visier von Blacksuit ?

Bildungsdienstleistungen, öffentliche Verwaltung, Baugewerbe, freiberufliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe sind die Hauptziele.

Welche Techniken Blacksuit zur Rechteausweitung verwenden?

Sie nutzen Software-Schwachstellen aus und verwenden Tools wie Mimikatz, um sich Zugang zu höheren Ebenen zu verschaffen.

Wie funktioniert Blacksuit Entdeckung entgehen?

Sie verwenden Techniken wie die Deaktivierung von Sicherheitstools, die Verschleierung von Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.

Welche Methoden verwenden Blacksuit für den Anmeldeinformationszugriff?

Sie verwenden Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe.

Wie Blacksuit Laterale Bewegungen innerhalb eines Netzwerks durchführen?

Durch die Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten für den Zugriff auf weitere Systeme.

Welche Arten von Daten Blacksuit exfiltrieren?

Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen werden häufig exfiltriert.

Wie Blacksuit führen Sie den ransomware Nutzlast?

Die ransomware wird bereitgestellt und ausgeführt, um Dateien auf den kompromittierten Systemen zu verschlüsseln.

Was sind einige wirksame Abwehrmaßnahmen gegen Blacksuit ?

Die Implementierung starker phishing Abwehrmechanismen, regelmäßiger Patches für Schwachstellen, einer robusten Verwaltung von Anmeldeinformationen und erweiterter Erkennungs- und Reaktionslösungen (XDR) sind von entscheidender Bedeutung.

Ist Ihr Unternehmen sicher vor Blacksuit Ransomware Angriffe?

Bewerten Sie Ihr Angriffsrisiko