Detección de Ransomware BlackSuit (Royal): El FBI y CISA Advierten a los Defensores sobre el Rebranding de Ransomware con Capacidades Mejoradas
Tabla de contenidos:
Los volúmenes en constante crecimiento de ransomware ataques, el aumento del número de colectivos de hackers motivados por el lucro y los crecientes costos globales de daños por ransomware están sacudiendo el escenario moderno de amenazas cibernéticas. El FBI y la CISA han emitido recientemente una nueva alerta notificando a los defensores sobre la aparición del ransomware BlackSuit, la evolución del ransomware Royal enriquecido con capacidades ofensivas mejoradas. Los mantenedores de BlackSuit ya han exigido pagos de rescate que ascienden a más de $500 millones en total, planteando riesgos crecientes para las organizaciones globales.
Detectar el Ransomware BlackSuit (Royal)
Este verano ha sido intenso no solo por el calor sino también por el aumento en la actividad del ransomware. Siguiendo la reciente aparición de Zola y el aumento de la actividad de Akira ransomware, la CISA y el FBI están ahora advirtiendo a los defensores cibernéticos sobre una nueva cepa maliciosa denominada BlackSuit. Como sucesor del infame ransomware Royal, la variante BlackSuit presenta capacidades mejoradas, demandas de rescate crecientes y apunta a organizaciones en todo el mundo.
Para adelantarse a posibles ataques de BlackSuit, los profesionales de seguridad pueden confiar en la Plataforma SOC Prime que agrega un conjunto de reglas de detección relevantes emparejadas con soluciones avanzadas de detección y caza de amenazas. Simplemente presiona el Explorar Detección botón abajo e inmediatamente profundiza en una colección de reglas dedicadas para detectar ataques de ransomware BlackSuit.
Todas las reglas de detección son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK. Además, los algoritmos de detección están enriquecidos con metadatos extensos, incluyendo CTI referencias, cronologías de ataques y recomendaciones de triaje, agilizando la investigación de amenazas.
Además, los profesionales de seguridad podrían usar Uncoder AI, el primer copiloto de IA de la industria para la Ingeniería de Detección, para cazar instantáneamente indicadores de compromiso proporcionados en el AA23-061A de la CISA. Uncoder AI actúa como un empaquetador de IOC, permitiendo a los analistas de CTI y SOC y a los cazadores de amenazas analizar sin problemas los IOCs y convertirlos en consultas de caza personalizadas listas para ejecutarse en el SIEM o EDR de su elección.
Los expertos en seguridad que buscan contenido de detección adicional para abordar los ataques de la familia de ransomware Royal e investigar su evolución retrospectiva pueden confiar en el Marketplace de Detección de Amenazas de SOC Prime. Al aplicar las etiquetas «Royal» y “Blacksuit”, los defensores cibernéticos pueden encontrar una colección comprensiva de reglas y consultas relevantes.
Análisis del ransomware BlackSuit (Royal)
Justo después de la aparición de la nueva variante de ransomware Proton denominada Zola, otra variante de ransomware renombrada sale a la escena. El FBI y la CISA emitieron una nueva alerta, AA23-061A, con el objetivo de aumentar la conciencia de ciberseguridad sobre el ransomware BlackSuit, que ha evolucionado a partir de Royal. BlackSuit posee capacidades de codificación similares a su predecesor, que estuvo activo en el ámbito de amenazas cibernéticas desde principios de otoño de 2022 hasta el verano de 2023, sin embargo, el ransomware renombrado es más sofisticado.
BlackSuit realiza exfiltración de datos y extorsión antes de la encriptación, amenazando con liberar los datos de las víctimas en un sitio de fugas a menos que la víctima pague el rescate. Para el acceso inicial, los adversarios dependen en gran medida del vector de ataque de phishing. Otros métodos de infección frecuentes involucran la explotación de RDP o aplicaciones vulnerables expuestas a internet y obtener acceso a través de acceso comprado a corredores de acceso inicial.
Después de infiltrarse en una red, los mantenedores de BlackSuit establecen comunicación con servidores C2 y descargan varias utilidades. A menudo abusan del software legítimo de Windows y aprovechan proyectos de código abierto para fines ofensivos. Sus predecesores Royal dependían de herramientas como Chisel, cliente SSH, OpenSSH, o PuTTY para conectar con su infraestructura C2. Una vez dentro de una red, los operadores de BlackSuit deshabilitan el software antivirus, roban grandes volúmenes de datos y luego despliegan el ransomware para encriptar los sistemas objetivo. Los adversarios aprovechan utilidades populares, como Mimikatz y Nirsoft para robar credenciales. Los afiliados de BlackSuit también reutilizan utilidades legítimas de pruebas de penetración como Cobalt Strike y aprovechan malware como Ursnif/Gozi para la recopilación y exfiltración de datos.
Las demandas de ransomware del BlackSuit generalmente van desde $1 millón hasta $10 millones en Bitcoin, con la demanda individual más alta alcanzando los $60 millones. Si bien los actores de BlackSuit están abiertos a negociar el pago, los montos de rescate no se especifican en la nota inicial y requieren comunicación directa con los adversarios a través de una URL .onion mediante el navegador Tor.
Para reducir los riesgos de ataques de ransomware BlackSuit, el FBI y la CISA recomiendan aplicar las mitigaciones listadas en la alerta AA23-061A que están en línea con los CPGs creados por la CISA y el NIST. Además de las prácticas y protecciones proporcionadas, los defensores también recomiendan evaluar la efectividad de los controles de seguridad actuales de la organización validándolos frente a las técnicas ATT&CK destacadas en el aviso. Para ayudar a las organizaciones a prevenir proactivamente ataques de ransomware emergentes y otras amenazas críticas, SOC Prime cura un completo conjunto de productos para la ingeniería de detección impulsada por IA, caza de amenazas automatizada y validación de pila de detección actuando como una solución preparada para empresas a prueba de futuro para elevar las defensas a gran escala.
