Η βασιλική συμμορία ransomware προσθέτει κρυπτογράφηση BlackSuit στο οπλοστάσιό της

Η συμμορία του Royal

ransomware

έχει αρχίσει να δοκιμάζει έναν νέο κρυπτογραφητή που ονομάζεται BlackSuit που μοιράζεται πολλές ομοιότητες με τον συνηθισμένο κρυπτογράφηση της επιχείρησης.

Η Royal ξεκίνησε τον Ιανουάριο του 2023, πιστεύεται ότι ήταν ο άμεσος διάδοχος της περιβόητης επιχείρησης Conti, η οποία έκλεισε τον Ιούνιο του 2022.

Αυτή η ομάδα είναι μια ιδιωτική επιχείρηση ransomware που αποτελείται από διεισδυτές, θυγατρικές από το “Conti Team 1” και θυγατρικές που στρατολόγησαν από άλλες συμμορίες ransomware που στοχεύουν επιχειρήσεις.

Από την κυκλοφορία του, το Royal Ransomware έχει γίνει μια από τις πιο ενεργές λειτουργίες, υπεύθυνη για πολλές επιθέσεις στην επιχείρηση.

Η Royal αρχίζει να δοκιμάζει το BlackSuit

Από τα τέλη Απριλίου, υπήρξαν θόρυβοι ότι η επιχείρηση Royal ransomware ετοιμαζόταν να μετονομαστεί με νέο όνομα. Αυτό κλιμακώθηκε περαιτέρω αφού άρχισαν να αισθάνονται πίεση από τις αρχές επιβολής του νόμου αφού επιτέθηκαν στην πόλη του Ντάλας του Τέξας.

Μια νέα λειτουργία ransomware BlackSuit ανακαλύφθηκε τον Μάιο, η οποία χρησιμοποιούσε τον δικό της επώνυμο κρυπτογράφηση και ιστοτόπους διαπραγμάτευσης Tor. Θεωρήθηκε ότι αυτή ήταν η λειτουργία ransomware στην οποία θα μετονομαζόταν η ομάδα Royal ransomware.

Ωστόσο, δεν έγινε ποτέ αλλαγή επωνυμίας και η Royal εξακολουθεί να επιτίθεται ενεργά στην επιχείρηση ενώ χρησιμοποιεί το BlackSuit σε περιορισμένες επιθέσεις.

“Royal: Ο άμεσος κληρονόμος του Conti, που αποτελείται από περισσότερους από 60 εισβολείς είτε από την “Old Guard” του Conti είτε στρατολογημένος από διάφορες ελίτ ομάδες ransomware. Λειτουργώντας σε μικρές ομάδες 4-5 ατόμων, παραμένουν πιστοί στους ηγέτες τους: τον Διαχειριστή και τον Αρχιμηχανικό », Yelisey Bohuslavskiy, Συνεργάτης και Επικεφαλής Ε&Α στο RedSense,

δημοσιεύτηκε στο LinkedIn

.

“Η ομάδα χρησιμοποιεί ντουλάπια Royal και BlackSuit, με Emotet και IcedID ως πρόδρομους. Δίνουν προτεραιότητα σε εναλλακτικές λύσεις για την CobaltStrike, ιδιαίτερα το Sliver, και αναπτύσσουν προσαρμοσμένους προδρόμους φορτωτές.”

Ο Bohuslavskiy είπε περαιτέρω στο BleepingComputer ότι η Royal απλώς δοκιμάζει έναν νέο κρυπτογραφητή, όπως έγινε με άλλα εργαλεία που χρησιμοποιεί η ομάδα, συμπεριλαμβανομένου ενός νέου φορτωτή, του IcedID και μιας αναζωογόνησης του Emotet.

“Συνεχίζουν να βελτιώνουν το Emoted για να προσπαθήσουν να το αναζωογονήσουν και εργάζονται πολύ στο IcedID. Τα πειράματά τους με νέα ντουλάπια είναι φυσικά από αυτή την άποψη.” εξήγησε ο Bohuslavskiy.

“Πιστεύω ότι μπορεί να δούμε περισσότερα πράγματα όπως το blacksuit σύντομα. Αλλά μέχρι στιγμής, φαίνεται ότι τόσο ο νέος φορτωτής όσο και το νέο ντουλάπι Blacksuit ήταν ένα αποτυχημένο πείραμα.”

Καθώς το BlackSuit είναι μια αυτόνομη λειτουργία, είναι πιθανό η Royal να σχεδιάζει να δημιουργήσει μια υποομάδα που θα επικεντρώνεται σε συγκεκριμένους τύπους θυμάτων ή να αποθηκευτεί για αλλαγή επωνυμίας αργότερα.

Ωστόσο, ένα rebrand δεν θα είχε πλέον νόημα, καθώς α

πρόσφατη αναφορά της Trend Micro

έχει δείξει σαφείς ομοιότητες μεταξύ των κρυπτογραφητών BlackSuit και Royal Ransomware, καθιστώντας δύσκολο να πειστεί κάποιος ότι πρόκειται για μια νέα λειτουργία ransomware.

Αυτές οι ομοιότητες περιλαμβάνουν ορίσματα γραμμής εντολών, ομοιότητες κώδικα, εξαιρέσεις αρχείων και παρόμοιες τεχνικές διακοπτόμενης κρυπτογράφησης.

Αν και δεν είναι σαφές πώς θα χρησιμοποιηθεί το BlackSuit, το ransomware χρησιμοποιείται ενεργά σε μικρό αριθμό επιθέσεων.

Η BleepingComputer γνωρίζει τουλάχιστον τρεις επιθέσεις όπου χρησιμοποιήθηκε ο κρυπτογραφητής BlackSuit, με λύτρα, μέχρι στιγμής, κάτω από 1 εκατομμύριο δολάρια.

Επί του παρόντος, η επιχείρηση έχει ένα θύμα καταχωρισμένο στον ιστότοπο διαρροής δεδομένων, αλλά αυτό θα μπορούσε να αλλάξει γρήγορα εάν ο νέος κρυπτογραφητής χρησιμοποιούταν πιο έντονα.

Αυτή τη στιγμή, θα πρέπει να περιμένουμε να δούμε αν το BlackSuit είναι στην πραγματικότητα ένα αποτυχημένο πείραμα ή η αρχή μιας νέας υποομάδας όπως η Conti με τη Diavol.

Ό,τι κι αν αποδειχτεί, οι υπερασπιστές του δικτύου θα πρέπει να γνωρίζουν ότι αυτή η νέα λειτουργία υποστηρίζεται από τη Royal, η οποία έχει αποδειχθεί ότι έχει εξειδίκευση στην παραβίαση δικτύων ή στην ανάπτυξη των κρυπτογραφητριών τους.