Анализ тактик BlackSuit: новая угроза программам-вымогателям 2023

Анализ тактик BlackSuit: новая угроза программам-вымогателям 2023

Группа BlackSuit: новый уровень атак программ-вымогателей

Недавний анализ, проведенный Cybereason Security Services, пролил свет на атаку программ-вымогателей, приписываемую группе BlackSuit. Появившаяся в середине 2023 года, эта группировка рассматривается как потенциальное ответвление более известного Royal ransomware. Особенность BlackSuit — сложные тактики, методы и процедуры (TTP), сочетающие использование мощных инструментов для командования и контроля, а также эксфильтрации данных.

Уникальные методы и инструментарий BlackSuit

В основе операций BlackSuit лежат следующие ключевые компоненты:

  • Cobalt Strike — используется для операций командования и контроля (Command & Control, C2), а также для горизонтального перемещения по сети;
  • rclone — применяется для извлечения и фильтрации данных перед шифрованием;
  • Переименование распространённых инструментов, что усложняет их обнаружение и атрибуцию вредоносной активности;
  • Использование стандартных Windows-процессов, таких как vssadmin, а также инструментов PsExec и RDP, для горизонтального перемещения внутри сети.

Особого внимания заслуживает стратегия BlackSuit по выборочному извлечению и удалению фрагментов данных перед шифрованием остальных файлов. Такой подход имеет несколько преимуществ:

  • ускорение процесса атаки;
  • уменьшение объема шифруемых данных;
  • повышение эффективности зловреда в обход существующих механизмов защиты.

Гибкие тактики обхода систем обнаружения

Для повышения шансов успешной атаки BlackSuit применяет уникальные техники, включая запуск программ-вымогателей с флагом -nomutex, что позволяет выполнять одновременные операции. Это демонстрирует их способность обходить стандартные методы обнаружения, которые обычно строятся на ограничении параллельного запуска вредоносных процессов.

Кроме того, использование команд PowerShell для взаимодействия с серверами управления и прямых подключений к определённым IP-адресам свидетельствует о высокой степени автоматизации и скоординированности действий злоумышленников.

Объем данных и угрозы безопасности

Во время атак BlackSuit было извлечено порядка 60 ГБ данных с помощью переименованных экземпляров rclone. Такая двойная угроза — эксфильтрация данных с последующим шифрованием и удалением — делает данный ransomware уникальным и особо опасным.

Умение выборочно исключать определённые типы файлов из шифрования усиливает тактику обхода, повышая риски для организаций и клиентов. Это подчеркивает актуальность следующих мер защиты:

  • сегментация сети для ограничения движения атакующих;
  • мониторинг в режиме реального времени для обнаружения злоупотреблений законными инструментами;
  • проактивное обновление систем и внедрение передовых средств защиты.

Экономические требования и рекомендации

Требования о выкупе, предъявляемые группой BlackSuit, варьируются от 1 до 10 миллионов долларов. Это указывает на масштабные операции злоумышленников и серьёзную угрозу для бизнеса.

«Современные злоумышленники, такие как BlackSuit, не только совершенствуют технические методы, но и используют психологическое давление, угрожая публичным раскрытием украденных данных, — отмечают эксперты Cybereason. — Организациям крайне важно применять проактивные меры безопасности для противодействия таким эволюционирующим атакам».

В итоге, деятельность группировки BlackSuit свидетельствует о том, что эра простых ransomware атак проходит, уступая место сложным многоступенчатым операциям с двойным эффектом — кражей и шифрованием данных. Это требует от индустрии кибербезопасности принятия новых стратегий и технологий защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: