Blacksuit
Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Sie weist zahlreiche Ähnlichkeiten mit Royal Ransomware , was darauf hindeutet, dass es sich möglicherweise um ein Spin-off oder eine Umbenennungsmaßnahme handelt.
Der Ursprung von Blacksuit
Blacksuit ist ein privater ransomware /Erpressungsgruppe, die Anfang April/Mai 2023 auftauchte. Die Gruppe hat verschiedene Ähnlichkeiten mit Royal Ransomware , was Experten zu der Vermutung veranlasste, dass Blacksuit könnte eine Ausgliederung oder Umbenennung der früheren Gruppe sein.
Royal Ransomware, selbst ein Neustart von Conti, erlangte Berühmtheit für seine gezielten Angriffe auf kritische Infrastrukturen und seine ausgeklügelten Methoden, um sich Zugang zu verschaffen, die Rechte zu erhöhen und die Entdeckung zu umgehen.
Aufbauend auf dieser Grundlage, Blacksuit scheint dieses Erbe mit ausgefeilten Techniken und einem gezielten Erpressungsansatz fortzuführen, indem es auf ähnlich wertvolle Branchen abzielt und fortschrittliche Taktiken nutzt, um in die Netzwerke seiner Opfer einzudringen und sie zu verschlüsseln.
Kartographie: OCD
Ziele
Blacksuit Ziele
Länder, die Ziel von Blacksuit
BlackSuit ist weltweit tätig, mit bedeutenden Aktivitäten in:
- Nordamerika: Insbesondere die Vereinigten Staaten und Kanada.
- Europa: Einschließlich bemerkenswerter Vorfälle in Italien und im Vereinigten Königreich.
- Asien: Südkorea hat mehrere Anschläge gemeldet.
- Südamerika: Brasilien ist ein bemerkenswertes Ziel innerhalb dieser Region.
Quelle: SOCradar
Branchen im Visier von Blacksuit
Laut SOCradar Blacksuit zielt vorwiegend auf folgende Branchen ab:
- Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
- Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
- Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
- Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).
Branchen im Visier von Blacksuit
Laut SOCradar Blacksuit zielt vorwiegend auf folgende Branchen ab:
- Bildungsdienste (22,7 %): Dies ist der am häufigsten angegriffene Sektor, was die Anfälligkeit von Bildungseinrichtungen für ransomware Angriffe widerspiegelt.
- Öffentliche Verwaltung (13,6 %): Regierungsstellen werden häufig angegriffen, was zu erheblichen Störungen der öffentlichen Dienste führt.
- Baugewerbe, freiberufliche, wissenschaftliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe (jeweils 9,1 %): Diese Sektoren sind aufgrund ihres kritischen Charakters und der potenziell großen Auswirkungen von Störungen ebenfalls stark betroffen.
- Andere Branchen: Einschließlich Einzelhandel, Transport und Lagerhaltung, Informationsdienste, Kunst, Unterhaltung und Erholung, Gesundheitswesen und sonstige Dienstleistungen (jeweils 4,5%).
Blacksuit Opfer
Blacksuit mehr als 96 Opfer im Visier. Prominente Opfer von Blacksuit Dazu zählen große Bildungseinrichtungen, Regierungsbehörden, Bauunternehmen, professionelle Dienstleistungsunternehmen und Gesundheitsdienstleister. Diese Angriffe führen häufig zu erheblichen Betriebsstörungen und Datenverlusten.
Bild: ransomware.live
Angriffsmethode
Blacksuit Angriffsmethode
Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.
Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.
Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.
Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.
Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.
Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.
Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.
Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.
In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.
Erster Zugang
Blacksuit erhält oft den ersten Zugang durch phishing E-Mails, Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen und Verwenden schädlicher Anhänge oder Links.
Rechte-Eskalation
Sobald sie in das Netzwerk eingedrungen sind, nutzen die Angreifer Schwachstellen aus, um ihre Privilegien zu erhöhen, wobei sie häufig Tools wie Mimikatz verwenden, um Zugriff auf höhere Ebenen zu erhalten.
Verteidigung Umgehung
Die Gruppe setzt verschiedene Techniken ein, um eine Entdeckung zu vermeiden, darunter die Deaktivierung von Sicherheitstools, die Verwendung von verschleiertem Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Zugang zu Anmeldeinformationen
Blacksuit verwendet Keylogger, Credential-Dumping-Tools und Brute-Force-Angriffe, um Benutzernamen und Passwörter zu sammeln.
Entdeckung
Sie führen umfangreiche Erkundungen innerhalb des Netzes durch, um dessen Struktur zu verstehen und kritische Systeme und sensible Daten zu identifizieren.
Seitliche Bewegung
Unter Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten bewegen sich die Angreifer seitlich im Netzwerk, um weitere Systeme zu infizieren.
Sammlung
Blacksuit sammelt und exfiltriert vertrauliche Daten, um die Opfer zur Zahlung des Lösegelds zu drängen. Dazu gehören oft Finanzdaten, persönliche Informationen und vertrauliche Geschäftsinformationen.
Ausführung
Die ransomware wird bereitgestellt und ausgeführt, um die Dateien auf den kompromittierten Systemen zu verschlüsseln.
Exfiltration
Die Daten werden auf externe, von den Angreifern kontrollierte Server exfiltriert, oft über verschlüsselte Kanäle, um nicht entdeckt zu werden.
Auswirkungen
In der letzten Phase werden die Daten und Systeme des Opfers verschlüsselt, so dass sie unbrauchbar werden. Dann wird eine Lösegeldforderung präsentiert, die eine Zahlung in Kryptowährung für die Entschlüsselung der Dateien verlangt.
MITRE ATT&CK Kartierung
TTPs verwendet von Blacksuit
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen
So erkennen Sie Blacksuit mit Vectra AI
Häufig gestellte Fragen
Was ist Blacksuit ransomware ?
Blacksuit ist ein ransomware Eine Gruppe, die dafür bekannt ist, kritische Infrastrukturbereiche ins Visier zu nehmen und hochentwickelte Taktiken einzusetzen, um in die Netzwerke der Opfer einzudringen und diese zu verschlüsseln.
Wie funktioniert Blacksuit erhält man normalerweise erstmals Zugriff auf ein Netzwerk?
Sie verwenden häufig phishing E-Mails, nutzen Schwachstellen in öffentlich zugänglichen Anwendungen aus und versenden bösartige Anhänge oder Links.
Welche Branchen sind am häufigsten im Visier von Blacksuit ?
Bildungsdienstleistungen, öffentliche Verwaltung, Baugewerbe, freiberufliche und technische Dienstleistungen, Großhandel und verarbeitendes Gewerbe sind die Hauptziele.
Welche Techniken Blacksuit zur Rechteausweitung verwenden?
Sie nutzen Software-Schwachstellen aus und verwenden Tools wie Mimikatz, um sich Zugang zu höheren Ebenen zu verschaffen.
Wie funktioniert Blacksuit Entdeckung entgehen?
Sie verwenden Techniken wie die Deaktivierung von Sicherheitstools, die Verschleierung von Code und die Ausnutzung von vertrauenswürdigen Systemprozessen.
Welche Methoden verwenden Blacksuit für den Anmeldeinformationszugriff?
Sie verwenden Keylogger, Tools zum Auslesen von Anmeldeinformationen und Brute-Force-Angriffe.
Wie Blacksuit Laterale Bewegungen innerhalb eines Netzwerks durchführen?
Durch die Verwendung legitimer Verwaltungstools und kompromittierter Anmeldedaten für den Zugriff auf weitere Systeme.
Welche Arten von Daten Blacksuit exfiltrieren?
Finanzdaten, persönliche Informationen und geschützte Geschäftsinformationen werden häufig exfiltriert.
Wie Blacksuit führen Sie den ransomware Nutzlast?
Die ransomware wird bereitgestellt und ausgeführt, um Dateien auf den kompromittierten Systemen zu verschlüsseln.
Was sind einige wirksame Abwehrmaßnahmen gegen Blacksuit ?
Die Implementierung starker phishing Abwehrmechanismen, regelmäßiger Patches für Schwachstellen, einer robusten Verwaltung von Anmeldeinformationen und erweiterter Erkennungs- und Reaktionslösungen (XDR) sind von entscheidender Bedeutung.