Blacksuit
Blacksuit ist eine private ransomware/Erpressergruppe, die Anfang April/Mai 2023 aufgetaucht ist. Sie weist zahlreiche Ähnlichkeiten mit Royal Ransomware auf, was darauf hindeutet, dass es sich um eine Abspaltung oder ein Rebranding handeln könnte.
Der Ursprung von Blacksuit
Blacksuit ist eine private ransomware/Erpressergruppe, die Anfang April/Mai 2023 auftauchte. Die Gruppe weist verschiedene Ähnlichkeiten mit Royal Ransomware auf, was Experten zu der Vermutung veranlasst, dass Blacksuit eine Abspaltung oder ein Rebranding der früheren Gruppe sein könnte.
Royal Ransomware, selbst ein Neustart von Conti, erlangte Berühmtheit für seine gezielten Angriffe auf kritische Infrastrukturen und seine ausgeklügelten Methoden, um sich Zugang zu verschaffen, die Rechte zu erhöhen und die Entdeckung zu umgehen.
Darauf aufbauend scheint Blacksuit das Erbe mit verfeinerten Techniken und einem gezielten Erpressungsansatz fortzusetzen, der auf ähnliche hochwertige Branchen abzielt und fortschrittliche Taktiken einsetzt, um in die Netzwerke seiner Opfer einzudringen und sie zu verschlüsseln.
Kartographie: OCD
Ziele
Blacksuit's Ziele
Zielländer von Blacksuit
BlackSuit ist weltweit tätig, mit bedeutenden Aktivitäten in:
- Nordamerika: Insbesondere die Vereinigten Staaten und Kanada.
- Europa: Einschließlich bemerkenswerter Vorfälle in Italien und im Vereinigten Königreich.
- Asien: Südkorea hat mehrere Anschläge gemeldet.
- Südamerika: Brasilien ist ein bemerkenswertes Ziel innerhalb dieser Region.
Quelle: SOCradar
Zielbranchen von Blacksuit
Laut SOCradar zielt Blacksuit vor allem auf die folgenden Branchen ab:
- Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
- Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
- Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
- Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).
Zielbranchen von Blacksuit
Laut SOCradar zielt Blacksuit vor allem auf die folgenden Branchen ab:
- Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
- Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
- Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
- Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).
Die Opfer von Blacksuit
Blacksuit hatte es auf mehr als 96 Opfer abgesehen. Zu den prominenten Opfern von Blacksuit gehören große Bildungseinrichtungen, Regierungsbehörden, Bauunternehmen, professionelle Dienstleistungsunternehmen und Gesundheitsdienstleister. Diese Angriffe führen häufig zu erheblichen Betriebsunterbrechungen und Datenverletzungen.
Bild: ransomware.live
Angriffsmethode
Blacksuit's Angriffsmethode
Blacksuit verschafft sich häufig einen ersten Zugang über phishing E-Mails, nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus und verwendet bösartige Anhänge oder Links.
Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.
Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Blacksuit verwendet Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe, um Benutzernamen und Kennwörter zu sammeln.
Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.
Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.
Blacksuit sammelt und exfiltriert sensible Daten, um die Opfer zur Zahlung des Lösegelds zu zwingen. Dazu gehören oft Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen.
Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.
Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.
In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.
Erster Zugang
Blacksuit verschafft sich häufig einen ersten Zugang über phishing E-Mails, nutzt Schwachstellen in öffentlich zugänglichen Anwendungen aus und verwendet bösartige Anhänge oder Links.
Rechte-Eskalation
Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.
Verteidigung Umgehung
Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Zugang zu Anmeldeinformationen
Blacksuit verwendet Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe, um Benutzernamen und Kennwörter zu sammeln.
Entdeckung
Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.
Seitliche Bewegung
Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.
Sammlung
Blacksuit sammelt und exfiltriert sensible Daten, um die Opfer zur Zahlung des Lösegelds zu zwingen. Dazu gehören oft Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen.
Ausführung
Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.
Exfiltration
Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.
Auswirkungen
In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.
MITRE ATT&CK Kartierung
Von Blacksuit verwendete TTPs
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen
Wie man Blacksuit mit Vectra AI
Häufig gestellte Fragen
Was ist Blacksuit ransomware?
Blacksuit ( ransomware ) ist eine Gruppe, die dafür bekannt ist, kritische Infrastrukturen ins Visier zu nehmen und fortschrittliche Taktiken einzusetzen, um in die Netzwerke der Opfer einzudringen und sie zu verschlüsseln.
Wie verschafft sich Blacksuit normalerweise den ersten Zugang zu einem Netzwerk?
Sie verwenden häufig phishing E-Mails, nutzen Schwachstellen in öffentlich zugänglichen Anwendungen aus und versenden bösartige Anhänge oder Links.
Welche Branchen sind am häufigsten Ziel von Blacksuit?
Bildungsdienstleistungen, öffentliche Verwaltung, Baugewerbe, freiberufliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe sind die Hauptziele.
Welche Techniken verwendet Blacksuit für die Privilegieneskalation?
Sie nutzen Software-Schwachstellen aus und verwenden Tools wie Mimikatz, um sich Zugang zu höheren Ebenen zu verschaffen.
Wie entgeht Blacksuit der Entdeckung?
Sie verwenden Techniken wie die Deaktivierung von Sicherheitstools, die Verschleierung von Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Welche Methoden werden von Blacksuit für den Zugriff auf Anmeldeinformationen verwendet?
Sie verwenden Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe.
Wie bewegen sich Blacksuit innerhalb eines Netzwerks?
Durch die Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten für den Zugriff auf weitere Systeme.
Welche Arten von Daten werden von Blacksuit exfiltriert?
Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen werden häufig exfiltriert.
Wie führt Blacksuit die Nutzlast von ransomware aus?
Die ransomware wird bereitgestellt und ausgeführt, um Dateien auf den kompromittierten Systemen zu verschlüsseln.
Welche wirksamen Abwehrmaßnahmen gibt es gegen Blacksuit?
Die Implementierung starker phishing Abwehrmechanismen, regelmäßiger Patches für Schwachstellen, einer robusten Verwaltung von Anmeldeinformationen und erweiterter Erkennungs- und Reaktionslösungen (XDR) sind von entscheidender Bedeutung.