СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
20.01.2025
#ИБ

Угроза BlackSuite: Эволюция программ-вымогателей и защитные меры

Угроза BlackSuite: Эволюция программ-вымогателей и защитные меры

Изображение: www.picussecurity.com

С середины 2023 года группа программ-вымогателей BlackSuite, известная как преемница Royal ransomware, быстро завоёвывает репутацию одной из наиболее заметных хакерских групп в мире. С требованиями о выкупе на сумму более 500 миллионов долларов и атаками в различных отраслях, тактика BlackSuite демонстрирует растущие возможности и уровень угрозы.

Методы атак

BlackSuite использует разнообразные методы для атаки крупных организаций по всему миру. К числу основных методов первоначального доступа относятся:

  • Фишинговые кампании;
  • Эксплойты RDP-протоколов;
  • Уязвимости общедоступных приложений, часто с привлечением брокеров первоначального доступа.

Группа известна также своими методами частичного шифрования и маршрутизации данных через IP-адреса, расположенные в США, что помогает избежать обнаружения.

Примечательные инциденты

Одним из самых значительных инцидентов стало нападение на Kadokawa Corporation и Niconico, в результате которого пострадали 254 241 человек. Ещё одна громкая атака на CDK Global привела к сбоям в работе 15 000 североамериканских автосалонов и выплате выкупа в размере 25 миллионов долларов за восстановление контроля над зашифрованными системами.

Тактика и инструменты

Тактика BlackSuite включает в себя:

  • Фишинговые электронные письма с вредоносными вложениями;
  • Использование протокола RDP для перемещения по сети;
  • Использование маяков Cobalt Strike для сбора учетных данных.

Сохранение данных обеспечивается с помощью разделов реестра, которые используют бэкдоры, такие как SystemBC, через PowerShell для скрытности. Также применяются методы внедрения Cobalt Strike for process для сокрытия вредоносных действий и выполнения атак с использованием Kerberoasting для извлечения учетных данных.

Рекомендации по противодействию

Для защиты от угроз со стороны BlackSuite рекомендуется:

  • Регулярно обновлять программное обеспечение и вносить критические исправления;
  • Имитировать фишинг и проводить обучение сотрудников по кибербезопасности;
  • Создавать резервные копии данных;
  • Изолировать хранилища критически важных файлов;
  • Использовать надежные решения для мониторинга.

Имитация атак программ-вымогателей с использованием таких платформ, как Picus, может помочь эффективно протестировать средства защиты. Организациям следует применять упреждающий подход к кибербезопасности, чтобы смягчать возникающие угрозы и защищать критически важные активы от постоянных атак, таких как BlackSuite.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: