Blacksuit
Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Sie weist zahlreiche Ähnlichkeiten mit Royal Ransomware , was darauf hindeutet, dass es sich möglicherweise um ein Spin-off oder eine Umbenennungsmaßnahme handelt.

Der Ursprung von Blacksuit
Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Die Gruppe hat verschiedene Ähnlichkeiten mit Royal Ransomware , was Experten zu der Vermutung veranlasste, dass Blacksuit könnte eine Ausgliederung oder Umbenennung der früheren Gruppe sein.
Royal Ransomware, selbst ein Neustart von Conti, erlangte Berühmtheit für seine gezielten Angriffe auf kritische Infrastrukturen und seine ausgeklügelten Methoden, um sich Zugang zu verschaffen, die Rechte zu erhöhen und die Entdeckung zu umgehen.
Aufbauend auf dieser Grundlage, Blacksuit scheint dieses Erbe mit ausgefeilten Techniken und einem gezielten Erpressungsansatz fortzuführen, indem es auf ähnlich wertvolle Branchen abzielt und fortschrittliche Taktiken nutzt, um in die Netzwerke seiner Opfer einzudringen und sie zu verschlüsseln.
Kartographie: OCD
Länder, die Ziel von Blacksuit
BlackSuit ist weltweit tätig, mit bedeutenden Aktivitäten in:
- Nordamerika: Insbesondere die Vereinigten Staaten und Kanada.
- Europa: Einschließlich bemerkenswerter Vorfälle in Italien und im Vereinigten Königreich.
- Asien: Südkorea hat mehrere Anschläge gemeldet.
- Südamerika: Brasilien ist ein bemerkenswertes Ziel innerhalb dieser Region.
Quelle: SOCradar
Branchen im Visier von Blacksuit
Laut SOCradar Blacksuit zielt vorwiegend auf folgende Branchen ab:
- Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
- Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
- Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
- Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).
Blacksuit Opfer
Blacksuit mehr als 96 Opfer im Visier. Prominente Opfer von Blacksuit Dazu zählen große Bildungseinrichtungen, Regierungsbehörden, Bauunternehmen, professionelle Dienstleistungsunternehmen und Gesundheitsdienstleister. Diese Angriffe führen häufig zu erheblichen Betriebsstörungen und Datenverlusten.
Bild: ransomware.live
Blacksuit Angriffsmethode

Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.

Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.

Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.

Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.

Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.

Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.

Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.

Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.

Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.

In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.

Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.

Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.

Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.

Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.

Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.

Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.

Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.

Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.

Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.

In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.
TTPs verwendet von Blacksuit
So erkennen Sie Blacksuit mit Vectra AI
Häufig gestellte Fragen
Was ist Blacksuit ransomware ?
Blacksuit ist ein ransomware Eine Gruppe, die dafür bekannt ist, kritische Infrastrukturbereiche ins Visier zu nehmen und hochentwickelte Taktiken einzusetzen, um in die Netzwerke der Opfer einzudringen und diese zu verschlüsseln.
Wie funktioniert Blacksuit erhält man normalerweise erstmals Zugriff auf ein Netzwerk?
Sie verwenden häufig phishing E-Mails, nutzen Schwachstellen in öffentlich zugänglichen Anwendungen aus und versenden bösartige Anhänge oder Links.
Welche Branchen sind am häufigsten im Visier von Blacksuit ?
Bildungsdienstleistungen, öffentliche Verwaltung, Baugewerbe, freiberufliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe sind die Hauptziele.
Welche Techniken Blacksuit zur Rechteausweitung verwenden?
Sie nutzen Software-Schwachstellen aus und verwenden Tools wie Mimikatz, um sich Zugang zu höheren Ebenen zu verschaffen.
Wie funktioniert Blacksuit Entdeckung entgehen?
Sie verwenden Techniken wie die Deaktivierung von Sicherheitstools, die Verschleierung von Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Welche Methoden verwenden Blacksuit für den Anmeldeinformationszugriff?
Sie verwenden Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe.
Wie Blacksuit Laterale Bewegungen innerhalb eines Netzwerks durchführen?
Durch die Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten für den Zugriff auf weitere Systeme.
Welche Arten von Daten Blacksuit exfiltrieren?
Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen werden häufig exfiltriert.
Wie Blacksuit führen Sie den ransomware Nutzlast?
Die ransomware wird bereitgestellt und ausgeführt, um Dateien auf den kompromittierten Systemen zu verschlüsseln.
Was sind einige wirksame Abwehrmaßnahmen gegen Blacksuit ?
Die Implementierung starker phishing Abwehrmechanismen, regelmäßiger Patches für Schwachstellen, einer robusten Verwaltung von Anmeldeinformationen und erweiterter Erkennungs- und Reaktionslösungen (XDR) sind von entscheidender Bedeutung.