BlackSuit (Royal) Ransomware-Erkennung: Das FBI und CISA warnen Verteidiger vor Ransomware-Rebranding mit erweiterten Fähigkeiten
Inhaltsverzeichnis:
Die ständig wachsenden Mengen an Ransomware Angriffe, die zunehmende Anzahl finanziell motivierter Hacking-Kollektive und die explodierenden globalen Schäden durch Ransomware erschßttern die moderne Bedrohungslandschaft. Das FBI und die CISA haben kßrzlich eine neue Warnung ausgegeben, die Verteidiger ßber das Auftauchen der BlackSuit-Ransomware informiert, der Weiterentwicklung der Royal-Ransomware, angereichert mit erweiterten Offensivfähigkeiten. BlackSuit-Unterstßtzer haben bereits LÜsegeldzahlungen in HÜhe von ßber 500 Millionen Dollar gefordert, was steigende Risiken fßr globale Organisationen darstellt.
Detektiere BlackSuit (Royal) Ransomware
Dieser Sommer war nicht nur wegen der Hitze intensiv, sondern auch aufgrund der Zunahme der Ransomware-Aktivität. Nach dem jßngsten Auftauchen von Zola und erhÜhter Aktivität von Akira Ransomware warnen CISA und FBI nun Cyber-Verteidiger vor einem neuen bÜsartigen Stamm namens BlackSuit. Als Nachfolger der berßchtigten Royal-Ransomware verfßgt die BlackSuit-Variante ßber erweiterte Fähigkeiten, steigende LÜsegeldforderungen und zielt auf Organisationen weltweit ab.
Um potenziellen BlackSuit-Angriffen einen Schritt voraus zu sein, kĂśnnen sich Sicherheitsexperten auf die SOC Prime Platform verlassen, die eine Reihe relevanter Erkennungsregeln in Verbindung mit fortschrittlichen Bedrohungserkennungs- und JagdlĂśsungen aggregiert. DrĂźcken Sie einfach den Erkundungs-Erkennung Button unten und tauchen Sie sofort in eine dedizierte Sammlung von Regeln ein, um BlackSuit-Ransomware-Angriffe zu erkennen.
Alle Erkennungsregeln sind mit Ăźber 30 SIEM-, EDR- und Data-Lake-LĂśsungen kompatibel und sind der MITRE ATT&CK Frameworkzugeordnet. AuĂerdem sind die Erkennungsalgorithmen mit umfangreichen Metadaten angereichert, darunter CTI Referenzen, Angriffstimeline und Triage-Empfehlungen, die die Bedrohungsermittlung erleichtern.
DarĂźber hinaus kĂśnnten Sicherheitsexperten Uncoder AI, den branchenweit ersten AI-Co-Piloten fĂźr Detection Engineering, nutzen, um sofort nach Kompromittierungsindikatoren zu suchen, die in CISA’s AA23-061A Beratung bereitgestellt werden. Uncoder AI fungiert als IOC-Paketierer, der es CTI- und SOC-Analysten und Threat-Hunters ermĂśglicht, IOCs nahtlos zu analysieren und sie in benutzerdefinierte Jagd-Anfragen zu konvertieren, die bereit in ihrem bevorzugten SIEM oder EDR ausgefĂźhrt werden kĂśnnen.
Sicherheitsexperten, die nach zusätzlichen Erkennungsinhalten suchen, um die Angriffe der Royal-Ransomware-Familie zu bewältigen und deren Entwicklung retrospektiv zu untersuchen, kĂśnnen sich auf den SOC Prime’s Threat Detection Marketplaceverlassen. Mit der Anwendung der Tags „Royal“ und âBlacksuitâ kĂśnnen Cyber-Verteidiger eine umfassende Sammlung relevanter Regeln und Anfragen finden.
BlackSuit (Royal) Ransomware Analyse
Im Gefolge des Auftauchens der neuen Proton-Ransomware-Variante namens Zola, kommt eine weitere umbenannte Ransomware-Variante auf den Plan. Das FBI und die CISA haben eine neue Warnung, AA23-061A, herausgegeben, um das Bewusstsein fßr die Cybersicherheit von BlackSuit Ransomware zu erhÜhen, die sich aus Royal entwickelt hat. BlackSuit besitzt ähnliche Codierungsfähigkeiten wie sein Vorgänger, der etwa von Anfang Herbst 2022 bis zum Sommer 2023 in der Bedrohungslandschaft aktiv war, jedoch ist die umbenannte Ransomware ausgereifter.
BlackSuit fßhr Datenexfiltration und Erpressung vor der Verschlßsselung durch und droht, die Daten des Opfers auf einer Leckseite zu verÜffentlichen, es sei denn, das Opfer zahlt das LÜsegeld. Fßr den ersten Zugang verlassen sich die Gegner weitgehend auf den Phishing-Angriffsvektor. Andere häufige Infektionsmethoden umfassen die Ausnutzung von RDP oder anfälligen, internetfähigen Anwendungen und den Zugang ßber von Anfangszugangsvermittlern gekaufte Zugriffe.
Nach dem Eindringen in ein Netzwerk errichten die BlackSuit-UnterstĂźtzer die Kommunikation mit C2-Servern und laden verschiedene Werkzeuge herunter. Sie missbrauchen häufig legitime Windows-Software und nutzen Open-Source-Projekte fĂźr offensive Zwecke. Ihre Royal-Vorgänger verlieĂen sich auf Tools wie Chisel, SSH-Client, OpenSSH oder PuTTY, um sich mit ihrer C2-Infrastruktur zu verbinden. Einmal im Netzwerk, deaktivieren die BlackSuit-Operatoren Antivirensoftware, stehlen groĂe Datenmengen und setzen dann die Ransomware ein, um die Zielsysteme zu verschlĂźsseln. Gegner nutzen beliebte Werkzeuge wie Mimikatz und Nirsoft zum Stehlen von Anmeldeinformationen. BlackSuit-Partner verwenden auch legitime Penetrationstest-Werkzeuge wie Cobalt Strike und nutzen Malware wie Ursnif/Gozi zur Datensammlung und -exfiltration.
Die LÜsegeldforderungen der BlackSuit-Ransomware reichen typischerweise von 1 bis 10 Millionen Dollar in Bitcoin, wobei die hÜchste individuelle Forderung 60 Millionen Dollar beträgt. Obwohl BlackSuit-Akteure offen fßr Verhandlungen sind, werden die LÜsegeldbeträge nicht in der anfänglichen Notiz angegeben und erfordern direkte Kommunikation mit den Gegnern ßber eine .onion-URL ßber den Tor-Browser.
Um die Risiken von BlackSuit-Ransomware-Angriffen zu verringern, empfehlen das FBI und die CISA die Anwendung der im AA23-061A-Alarm aufgefĂźhrten Abschwächungen, die mit den von CISA und dem NIST erstellten CPGs in Einklang stehen. Zusätzlich zu den bereitgestellten Praktiken und SchutzmaĂnahmen wird Verteidigern zudem empfohlen, die Wirksamkeit der aktuellen SicherheitsmaĂnahmen der Organisation zu bewerten, indem sie sie gegen die im Alarm hervorgehobenen ATT&CK-Techniken validieren. Um Organisationen dabei zu helfen, aufkommende Ransomware-Angriffe und andere kritische Bedrohungen proaktiv abzuwehren, kuratiert SOC Prime ein komplettes Produktportfolio fĂźr KI-gestĂźtzte Erkennungstechnik, automatisierte Bedrohungsjagd und Validierung des Erkennungsstapels, das als zukunftssichere, unternehmensbereite LĂśsung zur Skalierung der Verteidigung dient.
