Erkennung von BlackSuit-Ransomware: Ignoble Scorpius eskaliert Angriffe, zielt auf über 90 Organisationen weltweit ab
Inhaltsverzeichnis:
Letztes Jahr als Nachfolger von Royal Ransomware aufgetaucht, BlackSuit hat sich schnell zu einem hochentwickelten bösartigen Ableger entwickelt, der aggressiv Organisationen weltweit ins Visier nimmt. Sicherheitsforscher haben kürzlich einen signifikanten Anstieg der Aktivität der Ignoble Scorpius-Gruppe, dem Betreiber hinter BlackSuit, beobachtet, wobei über 90 Organisationen ihren unaufhörlichen Eindringlingen zum Opfer gefallen sind.
BlackSuit-Ransomware erkennen
BlackSuit-Ransomware gewinnt 2024 an Fahrt und zielt aktiv auf mehrere Organisationen ab, wobei sie einen scharfen Fokus auf die Bau-, Fertigungs- und Bildungsindustrie legt. Um über potenzielle Angriffe informiert zu bleiben, können sich Sicherheitsforscher auf die SOC Prime Platform verlassen, die eine kollektive Cyberabwehr mit einem Satz relevanter Sigma-Regeln bietet, unterstützt durch ein komplettes Produktsortiment für fortschrittliche Bedrohungserkennung und -jagd.
Um auf einen kuratierten Erkennungs-Stack zuzugreifen, der sich mit bösartiger Aktivität im Zusammenhang mit der BlackSuit-Ransomware befasst, klicken Sie auf die Erkennungen erkunden Schaltfläche unten oder suchen Sie direkt im Threat Detection Marketplace nach Erkennungen, indem Sie das Tag „BlackSuit Ransomware“ verwenden.
Zusätzlich könnten sich Cyber-Verteidiger mit den Ignoble Scorpius-TTPs auseinandersetzen, indem sie einen Erkennungs-Stack erkunden, der über das Tag „Ignoble Scorpius“ in der SOC Prime Platform zugänglich ist.
Alle Erkennungsregeln sind mit über 30 SIEM-, EDR- und Data-Lake-Lösungen kompatibel und sind zu dem MITRE ATT&CK-Frameworkzugeordnet. Darüber hinaus sind die Erkennungsalgorithmen mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffszeitplänen und Empfehlungen zur Priorisierung, die die Bedrohungsuntersuchung vereinfachen.
Analyse der BlackSuit-Ransomware
Unit 42 Forscher haben kürzlich seit dem Frühjahr 2024 einen Anstieg der BlackSuit-Ransomware-Aktivitäten entdeckt, was auf eine Zunahme offensiver Kampagnen hindeutet. Der berüchtigte Strang, der ein Rebranding der Royal Ransomware darstellt und seit 2023 eine erhebliche Bedrohung für Cyber-Verteidiger darstellt, wird der als Ignoble Scorpius verfolgten Gruppe zugeschrieben. Nach der Umbenennung wurden weltweit über 93 Opfer identifiziert, wobei etwa 25% in der Bau- und Fertigungsindustrie konzentriert sind, vorwiegend in den Vereinigten Staaten.
Wie sein Vorgänger betreibt auch BlackSuit eine Dark-Web-Leak-Website, auf der es die Namen und gestohlenen Daten seiner Opfer veröffentlicht, um sie zur Zahlung eines Lösegelds zu zwingen. Bemerkenswert sind die anfänglichen Lösegeldforderungen der Gruppe, die typischerweise etwa 1,6% des Jahresumsatzes der Opferorganisation betragen. Mit einem mittleren Opfererlös von etwa 19,5 Millionen US-Dollar über verschiedene Branchen hinweg stellen diese Lösegeldforderungen eine erhebliche finanzielle Belastung für betroffene Organisationen dar.
Im August 2024 veröffentlichten das FBI und die CISA einen Warnhinweis, der Verteidiger vor dem Anstieg der BlackSuit-Ransomware und ihrer wachsenden Bedrohung für globale Organisationen warnte. Die gemeinsame Cyber-Sicherheitsberatung wies auf die zunehmenden Lösegeldforderungen der Gruppe hin, die 500 Millionen US-Dollar übersteigen.
Ignoble Scorpius setzt eine Reihe von Taktiken ein, um anfänglichen Zugriff zu erlangen, wobei häufig Initial Access Brokers (IABs) eingesetzt werden, die gestohlene Anmeldeinformationen oder anderen nicht autorisierten Netzwerkzugang bereitstellen. Forscher haben mehrere von der Gruppe verwendete Methoden identifiziert, einschließlich Phishing-E-Mails mit bösartigen Anhängen, SEO-Poisoning durch GootLoader, Social Engineering oder Vishing, um gestohlene VPN-Anmeldeinformationen zu erwerben, und Kompromittierung der Software-Lieferkette. Für die Ernte von Anmeldedaten verlässt sich Ignoble Scorpius häufig auf Tools wie Mimikatz und NanoDump, um weiteren Netzwerkzugriff zu erlangen.
Nachdem privilegierter Zugriff, wie z.B. Domain-Administratorrechte, erlangt wurde, werfen BlackSuit-Wartungsteams die Datei NTDS.dit mit ntdsutil ab, um den Domänencontroller zu kompromittieren. Für die seitliche Bewegung setzt die Gruppe RDP, SMB und PsExec ein. Sie nutzen auch anfällige Treiber und Loader, die als STONESTOP und POORTRY identifiziert wurden, um Antiviren- und EDR-Tools zu deaktivieren und die Erkennung zu umgehen.
Die primäre Nutzlast der Gruppe ist die BlackSuit-Ransomware, die sowohl Windows- als auch Linux-Instanzen, einschließlich VMware ESXi-Servern, angreift. Zusätzliche Tools wie Cobalt Strike und SystemBC werden für Persistenz und Befehlsausführung verwendet, obwohl unklar ist, ob sie von Ignoble Scorpius oder einem IAB eingesetzt wurden.
Die Windows-basierte BlackSuit-Variante verwendet ein Befehlszeilenargument, -id, zusammen mit einem einzigartigen 32-Zeichen-Identifikator, um Opfer anzuvisieren und Zugang zu einem privaten Verhandlungschat durch die Lösegeldforderung zu bieten. Um eine Wiedereinführung zu verhindern, verwendet die Malware einen Mutex und bedient sich Tools wie PsExec und WMIC, um die Ransomware über SMB auf Hunderte von Hosts zu verteilen und auszuführen. Zusätzlich haben Forscher die Nutzung von VirtualBox zur Erstellung einer virtuellen Maschine für die Nutzlastlieferung festgestellt. Um maximale Verschlüsselung sicherzustellen, beendet BlackSuit bekannte Prozesse und Dienste mithilfe des Windows Restart Managers, um offene Dateien zu schließen, während kritische Prozesse wie Windows Explorer vermieden werden. Die ESXi-Variante, die auf Linux basiert, zielt speziell auf virtuelle Maschinen ab und führt im Vergleich zu ihrem Windows-Gegenstück zwei zusätzliche Befehlszeilenflags ein.
Obwohl Ignoble Scorpius noch nicht zu den Top-Ransomware-Gangs gehört, sticht die Gruppe durch die Durchführung anspruchsvoller Lieferkettenangriffe hervor und hat mindestens 93 Organisationen kompromittiert, ohne ein RaaS-Modell, was von Verteidigern eine hohe Reaktionsfähigkeit erfordert, um Organisationen dabei zu helfen, die Risiken von Ransomware-Angriffen zu minimieren. Durch die Nutzung von SOC Prime’s kompletten Produktpakets für KI-gestützte Erkennungstechnik, automatisierte Bedrohungssuche und fortschrittliche Bedrohungserkennung können fortschrittliche Organisationen Ransomware-Angriffe proaktiv abwehren und sich neuen Bedrohungen von wachsender Komplexität stellen, um ihre Cyber-Sicherheitslage zu risikooptimieren.