Эволюция BlackSuit: новейшие угрозы в кибербезопасности
Изображение: redsense.com
Группа программ-вымогателей BlackSuit, известная своими громкими атаками на компании, такие как CDK Global, Kadokawa и Niconico, претерпела важные изменения с момента своего создания. Ранее именовавшаяся как Conti-2 и Quantum, BlackSuit стала ключевым игроком в киберподполье, продолжая развивать свои тактики и инструменты до мая 2023 года.
История бренда и ребрендинг
Переход группы от псевдонима Royal к BlackSuit стал знаковым моментом в ее эволюции, ознаменованным внутренними конфликтами и изменениями в структуре управления. Исследовательская фирма RedSense в своем отчете выделяет основные этапы изменений:
- Переименование и ребрендинг группы.
- Внедрение новых инструментов, включая вредоносное ПО и RATs (трояны удаленного доступа).
- Разработка новых систем управления (C2).
Стратегический подход к кибератакам
Under the alias Royal, the group established a reputation for utilizing encryption tactics alongside data exfiltration for maximum impact. Их арсенал содержал программы-вымогатели, такие как BlackCat, LockBit и HIVE, а также партнерские отношения с брокерами начального доступа (IAB) для эффективного обхода систем безопасности.
Тактика социальной инженерии и новые разработки
В начале 2023 года BlackSuit активно использовала методы социальной инженерии, манипулируя результатами поисковых систем и внедряя продвинутые загрузчики для распространения вредоносных программ. Так, была внедрена TrickBot-2, нацеленная на скрытое развертывание с возможностью уклонения от антивирусов (AV) и интеграции с Cobalt Strike.
Изменение фокуса: от эксфильтрации к шифрованию
Переход BlackSuit к оперативности в шифровании, в отличие от их прежнего акцента на эксфильтрацию, прослеживается в их новых стратегиях. В середине 2023 года группа инициировала конкурс на выбор нового хранилища, выбрав решение, разработанное бывшими разработчиками Ryuk. Это символизировало возвращение к шифрованию в качестве основной тактики, однако эксфильтрация осталась важной частью их операций.
Создание мощной хакерской инфраструктуры
BlackSuit стремится воссоздать цепочку убийств Emotet-TrickBot-Ryuk, демонстрируя свои амбиции в построении мощной киберпреступной инфраструктуры. Использование таких инструментов, как AresLoader, LummaC2 и кастомизированного фреймворка C2, подтверждает высокий уровень сложности их операций.
Заключение
Эволюция BlackSuit от Royal к нынешнему статусу подчеркивает глубину и сложность киберугроз, с которыми сталкивается современная цифровая экосистема. Комбинация инновационных инструментов и внутренних конфликтов между разработчиком и администратором locker отражает постоянные изменения в подходах к киберпреступности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.
