BlackSuit: многовекторный шифровальщик атакует Windows и Linux

BlackSuit ransomware: новая волна multi-extortion атак и сходство с Royal

BlackSuit ransomware появился примерно в апреле–мае 2023 года и быстро был обозначен как значимая cyber threat. Группа действует в частном порядке, без публичных аффилиаций, и использует multi-extortion-тактики: сочетает шифрование данных с их exfiltration, усиливая давление на жертву.

По данным отчета, основными целями BlackSuit становятся организации в секторах healthcare и education, а также компании из других критически важных отраслей. При этом жертвами могут становиться и крупные предприятия, и малый и средний бизнес.

Сходство с Royal ransomware

Технический анализ показывает заметные совпадения между BlackSuit и Royal ransomware. В частности, речь идет о схожих механизмах encryption и параметрах command line. Это указывает на высокую степень преемственности в инструментарии и методах работы.

Основные векторы доставки

Методы распространения BlackSuit достаточно разнообразны и опираются на несколько распространённых каналов компрометации:

• Infected email attachments — основной способ доставки; вредоносные ссылки или macros во вложениях запускают ransomware при взаимодействии пользователя.
• Torrent files — ransomware может скрываться в файлах, используемых для peer-to-peer file sharing.
• Malvertising — вредоносная реклама перенаправляет пользователей на compromised websites, которые автоматически загружают ransomware.
• Trojans — deceptive programs, предназначенные для загрузки различных форм malware, включая ransomware; часто распространяются через phishing emails или fake software updates.

Технические особенности атаки

BlackSuit является file-encrypting malware, совместимым с операционными системами Windows и Linux. Векторы атак часто строятся на схемах phishing или на использовании сторонних exploitation frameworks, включая Empire, Metasploit и Cobalt Strike.

После получения доступа к информации о локальных logical disks вредоносное ПО быстро обрабатывает файлы на всех доступных volumes. Такая скорость шифрования делает атаку особенно опасной: окно реагирования у жертвы резко сокращается.

Для усложнения восстановления BlackSuit удаляет Volume Shadow Copies (VSS), используя скрытые shell commands. Это лишает пострадавшие организации одного из стандартных способов возврата данных.

Выкуп и маркировка файлов

После завершения шифрования в папках с зашифрованными файлами оставляются ransom notes. Для разных платформ используются немного различающиеся имена файлов:

• README.BlackSuit.txt — для Windows;
• README.blacksuit.txt — для Linux.

Выбор жертв и география атак

BlackSuit, по-видимому, ориентируется на широкий круг организаций, но особенно активно атакует компании в сферах healthcare, education, information technology, government, retail и manufacturing.

Отдельно отмечается, что, как и Royal, BlackSuit придерживается политики не нацеливаться на организации в рамках CIS. Это свидетельствует о сознательном выборе жертв, направленном на максимизацию эффекта и снижение риска для самой группировки.

BlackSuit сочетает скорость, многоканальную доставку и агрессивную модель multi-extortion, что делает его одной из наиболее заметных ransomware-угроз 2023 года.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.