La banda de ciberdelincuentes ransomware que anteriormente operaba como Royal ha cambiado su nombre y se ha relanzado como BlackSuit, y está apuntando activamente a organizaciones de múltiples sectores con importantes demandas de extorsión, según una alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) bajo los auspicios. de su campaña en curso #StopRansomware.
Probablemente descendiente de la extinta operación Conti y con vínculos potenciales con otras tripulaciones como Black Basta y Hive, Royal estuvo en acción durante un período de aproximadamente nueve meses entre el otoño de 2022 y el verano de 2023, y en ese período llevó a cabo una serie de ataques dañinos.
Su resurgimiento 12 meses después como BlackSuit ha sido rastreado tanto por CISA como por el FBI, que han juzgado a partir de varios ataques cibernéticos conocidos que su casillero de ransomware comparte similitudes de codificación significativas con el de Royal, y también demuestra “capacidades mejoradas”.
Entre ellos, dijo CISA: “BlackSuit utiliza un enfoque de cifrado parcial único que permite al actor de amenazas elegir un porcentaje específico de datos en un archivo para cifrar”.
De esta manera, puede reducir el porcentaje de cifrado de archivos más grandes, lo que ayuda a la banda a evadir la detección y mejora significativamente la velocidad a la que puede operar el ransomware.
Al igual que con otras pandillas, los correos electrónicos de phishing se utilizan con mayor frecuencia para obtener acceso inicial, aunque también se sabe que BlackSuit utiliza el Protocolo de escritorio remoto (RDP), vulnerabilidades en aplicaciones web públicas y los servicios de intermediarios de acceso inicial (IAB).
Después de obtener acceso, sus agentes también desactivan el software antivirus de las víctimas antes de ir a trabajar. BlackSuit lleva a cabo actividades de exfiltración de datos y extorsiona a sus víctimas antes de cifrar sus datos, que luego se publican en un sitio de filtración de la web oscura si no se recibe el pago.
CISA dijo que la pandilla ha exigido colectivamente más de 500 millones de dólares (393,4 millones de libras esterlinas) en pagos, con rescates típicos que van desde 1 millón de dólares en el extremo inferior de la escala hasta alrededor de 10 millones de dólares, aunque se sabe que al menos una demanda de 60 millones de dólares tiene sido hecho.
La pandilla se destaca por no exigir un rescate en el momento de su ataque inicial; las víctimas deben interactuar directamente con sus negociadores a través de una URL Tor Onion, que se entrega después del cifrado de datos. También se sabe que BlackSuit intentó utilizar llamadas telefónicas y correos electrónicos para presionar a sus víctimas.
Martin Kraemer, defensor de la concienciación sobre la seguridad en KnowBe4, dijo: “El grupo responsable del ransomware BlackSuit es conocido por utilizar tácticas agresivas para extorsionar. No temen amenazar a las empresas con exponer las irregularidades corporativas, intimidar a los familiares de los empleados y líderes, o chantajear a los empleados revelando actividades ilegales.
“Estas tácticas están diseñadas para mantener una empresa bajo su control. Cuanto más daño causen a la reputación de una empresa, más probabilidades habrá de que la víctima pague. Esta es su estrategia.
“Estamos cerca de un escenario en el que los grupos de ransomware trabajen en estrecha colaboración con proveedores de servicios de desinformación. En la web oscura se pueden organizar campañas para destruir la reputación personal de alguien o manipular los precios de las acciones. El coste de este tipo de campañas es mucho menor en comparación con el posible pago de un rescate.
“Las organizaciones deben estar preparadas. Los equipos de gestión de crisis y respuesta a incidentes deben colaborar estrechamente con el departamento de relaciones públicas para garantizar el nivel adecuado de transparencia y limitar el daño a la confianza de los empleados y consumidores. Dado que la desinformación dirigida se está convirtiendo en un factor, los departamentos de relaciones públicas también deben estar preparados para anticipar y gestionar narrativas que podrían dañar significativamente a la empresa. Ya sea por presunta negligencia o mala conducta, los departamentos de relaciones públicas deben tener respuestas preparadas”.
Más información sobre BlackSuit, incluidos indicadores de compromiso (IoC) actualizados, está disponible en CISA.