Анализ тактик BlackSuit: новая угроза программам-вымогателям 2023

Группа BlackSuit: новый уровень атак программ-вымогателей
Недавний анализ, проведенный Cybereason Security Services, пролил свет на атаку программ-вымогателей, приписываемую группе BlackSuit. Появившаяся в середине 2023 года, эта группировка рассматривается как потенциальное ответвление более известного Royal ransomware. Особенность BlackSuit — сложные тактики, методы и процедуры (TTP), сочетающие использование мощных инструментов для командования и контроля, а также эксфильтрации данных.
Уникальные методы и инструментарий BlackSuit
В основе операций BlackSuit лежат следующие ключевые компоненты:
- Cobalt Strike — используется для операций командования и контроля (Command & Control, C2), а также для горизонтального перемещения по сети;
- rclone — применяется для извлечения и фильтрации данных перед шифрованием;
- Переименование распространённых инструментов, что усложняет их обнаружение и атрибуцию вредоносной активности;
- Использование стандартных Windows-процессов, таких как
vssadmin, а также инструментов PsExec и RDP, для горизонтального перемещения внутри сети.
Особого внимания заслуживает стратегия BlackSuit по выборочному извлечению и удалению фрагментов данных перед шифрованием остальных файлов. Такой подход имеет несколько преимуществ:
- ускорение процесса атаки;
- уменьшение объема шифруемых данных;
- повышение эффективности зловреда в обход существующих механизмов защиты.
Гибкие тактики обхода систем обнаружения
Для повышения шансов успешной атаки BlackSuit применяет уникальные техники, включая запуск программ-вымогателей с флагом -nomutex, что позволяет выполнять одновременные операции. Это демонстрирует их способность обходить стандартные методы обнаружения, которые обычно строятся на ограничении параллельного запуска вредоносных процессов.
Кроме того, использование команд PowerShell для взаимодействия с серверами управления и прямых подключений к определённым IP-адресам свидетельствует о высокой степени автоматизации и скоординированности действий злоумышленников.
Объем данных и угрозы безопасности
Во время атак BlackSuit было извлечено порядка 60 ГБ данных с помощью переименованных экземпляров rclone. Такая двойная угроза — эксфильтрация данных с последующим шифрованием и удалением — делает данный ransomware уникальным и особо опасным.
Умение выборочно исключать определённые типы файлов из шифрования усиливает тактику обхода, повышая риски для организаций и клиентов. Это подчеркивает актуальность следующих мер защиты:
- сегментация сети для ограничения движения атакующих;
- мониторинг в режиме реального времени для обнаружения злоупотреблений законными инструментами;
- проактивное обновление систем и внедрение передовых средств защиты.
Экономические требования и рекомендации
Требования о выкупе, предъявляемые группой BlackSuit, варьируются от 1 до 10 миллионов долларов. Это указывает на масштабные операции злоумышленников и серьёзную угрозу для бизнеса.
«Современные злоумышленники, такие как BlackSuit, не только совершенствуют технические методы, но и используют психологическое давление, угрожая публичным раскрытием украденных данных, — отмечают эксперты Cybereason. — Организациям крайне важно применять проактивные меры безопасности для противодействия таким эволюционирующим атакам».
В итоге, деятельность группировки BlackSuit свидетельствует о том, что эра простых ransomware атак проходит, уступая место сложным многоступенчатым операциям с двойным эффектом — кражей и шифрованием данных. Это требует от индустрии кибербезопасности принятия новых стратегий и технологий защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



