Detección de Ransomware BlackSuit: Ignoble Scorpius Escala Ataques, Apunta a Más de 90 Organizaciones en Todo el Mundo
Tabla de contenidos:
Emergiendo el año pasado como el sucesor del ransomware Royal, BlackSuit ha evolucionado rápidamente en un derivado malicioso altamente sofisticado, apuntando agresivamente a organizaciones en todo el mundo. Los investigadores de seguridad han observado recientemente un aumento significativo en la actividad del grupo Ignoble Scorpius, el operador detrás de BlackSuit, con más de 90 organizaciones como víctimas de sus implacables intrusiones.
Detectar el Ransomware BlackSuit
El ransomware BlackSuit está ganando ímpetu en 2024, apuntando activamente a múltiples organizaciones con un enfoque agudo en las industrias de construcción, manufactura y educación. Para estar al tanto de los posibles ataques, los investigadores de seguridad pueden confiar en la Plataforma SOC Prime para la defensa cibernética colectiva, ofreciendo un conjunto de reglas Sigma relevantes respaldadas por un conjunto completo de productos para la detección y caza de amenazas avanzadas.
Para acceder a un conjunto de detección curado que aborda la actividad maliciosa vinculada al ransomware BlackSuit, pulse el Explorar Detecciones botón de abajo o busque detecciones directamente en el Threat Detection Marketplace usando la etiqueta «BlackSuit Ransomware».
Además, los defensores cibernéticos pueden profundizar en las TTP de Ignoble Scorpius explorando un conjunto de detección accesible mediante la etiqueta «Ignoble Scorpius» en la Plataforma SOC Prime.
Todas las reglas de detección son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK. Además, los algoritmos de detección se enriquecen con metadatos extensivos, que incluyen CTI referencias, líneas de tiempo de ataque y recomendaciones de triaje, agilizando la investigación de amenazas.
Análisis del Ransomware BlackSuit
Los investigadores de Unit 42 han descubierto recientemente un pico en la actividad del ransomware BlackSuit desde principios de la primavera de 2024, indicando un incremento en las campañas ofensivas. La notoria cepa, que es un cambio de marca del ransomware Royal que representa una amenaza significativa para los defensores cibernéticos desde 2023, se atribuye al grupo rastreado como Ignoble Scorpius. Tras el cambio de marca, se han identificado más de 93 víctimas a nivel mundial, con aproximadamente el 25% concentrado en las industrias de construcción y manufactura, principalmente dentro de los Estados Unidos.
Al igual que su predecesor, BlackSuit también opera un sitio de filtraciones en la dark web donde publica los nombres y datos robados de sus víctimas para presionarlas a pagar un rescate. Notablemente, las demandas iniciales de rescate del grupo típicamente promedian alrededor del 1.6% de los ingresos anuales de la organización víctima. Con unos ingresos medianos de las víctimas de aproximadamente $19.5 millones en diversas industrias, estas demandas de rescate representan una carga financiera sustancial para las organizaciones afectadas.
En agosto de 2024, el FBI y CISA emitieron una alerta advirtiendo a los defensores sobre el aumento del ransomware BlackSuit y su creciente amenaza para las organizaciones globales. La advertencia conjunta de ciberseguridad señaló las crecientes demandas de rescate del grupo que superan los $500 millones.
Ignoble Scorpius emplea una variedad de tácticas para obtener acceso inicial, a menudo utilizando Brokers de Acceso Inicial (IAB) que proporcionan credenciales robadas u otro acceso no autorizado a la red. Los investigadores han identificado varios métodos utilizados por el grupo, incluidos correos electrónicos de phishing con adjuntos maliciosos, envenenamiento de SEO a través de GootLoader, ingeniería social o vishing para adquirir credenciales VPN robadas, y compromisos de la cadena de suministro de software. Para el robo de credenciales, Ignoble Scorpius frecuentemente confía en herramientas como Mimikatz y NanoDump para obtener más acceso a la red.
Después de obtener acceso privilegiado, como derechos de administrador de dominio, los mantenedores de BlackSuit extraen el archivo NTDS.dit usando ntdsutil para comprometer el controlador de dominio. Para el movimiento lateral, el grupo emplea RDP, SMB y PsExec. También aprovechan controladores y cargadores vulnerables, identificados como STONESTOP y POORTRY, para deshabilitar herramientas antivirus y EDR y facilitar la evasión de detección.
La carga útil principal del grupo es el ransomware BlackSuit, que apunta tanto a instancias de Windows como de Linux, incluidos servidores VMware ESXi. Herramientas adicionales como Cobalt Strike y SystemBC se utilizan para persistencia y ejecución de comandos, aunque no está claro si fueron desplegadas por Ignoble Scorpius o un IAB.
La variante de BlackSuit basada en Windows utiliza un argumento de línea de comando, -id, junto con un identificador único de 32 caracteres para apuntar a las víctimas y proporcionar acceso a un chat de negociación privado a través de la nota de rescate. Para prevenir la reinfección, el malware utiliza un mutex y emplea herramientas como PsExec y WMIC para distribuir y ejecutar el ransomware a través de cientos de hosts vía SMB. Además, los investigadores han notado el uso de VirtualBox para crear una máquina virtual para la entrega de la carga útil. Para garantizar la máxima encriptación, BlackSuit termina procesos y servicios conocidos usando el Administrador de Reinicio de Windows para cerrar archivos abiertos, mientras evita procesos críticos como el Explorador de Windows. La variante ESXi, que es basada en Linux, apunta específicamente a máquinas virtuales e introduce dos banderas adicionales de línea de comando en comparación con su contraparte de Windows.
A pesar de aún no estar entre las principales bandas de ransomware, Ignoble Scorpius se destaca por realizar ataques sofisticados a la cadena de suministro, habiendo comprometido al menos a 93 organizaciones sin un modelo RaaS, lo que requiere una ultra-responsabilidad de los defensores para ayudar a las organizaciones a minimizar los riesgos de ataques de ransomware. Al aprovechar el conjunto completo de productos de SOC Prime para ingeniería de detección impulsada por IA, caza de amenazas automatizada y detección avanzada de amenazas, las organizaciones progresivas pueden prevenir proactivamente ataques de ransomware y cualquier amenaza emergente de mayor sofisticación para optimizar su postura de ciberseguridad frente a riesgos.