Rilevamento del Ransomware BlackSuit: Ignoble Scorpius Intensifica gli Attacchi, Colpisce oltre 90 Organizzazioni in tutto il Mondo
Indice:
Emerso lo scorso anno come successore del ransomware Royal, BlackSuit è rapidamente evoluto in un sofisticato spin-off malevolo, prendendo di mira aggressivamente le organizzazioni in tutto il mondo. I ricercatori di sicurezza hanno recentemente osservato un significativo aumento dell’attività del gruppo Ignoble Scorpius, l’operatore dietro BlackSuit, con oltre 90 organizzazioni vittime delle loro incursioni incessanti.
Rileva il Ransomware BlackSuit
Il ransomware BlackSuit sta guadagnando terreno nel 2024, prendendo di mira attivamente molteplici organizzazioni con un focus deciso sui settori della costruzione, manifatturiero e dell’istruzione. Per mantenersi al passo con i potenziali attacchi, i ricercatori di sicurezza possono fare affidamento sulla piattaforma SOC Prime per una difesa cibernetica collettiva, offrendo un set di regole Sigma rilevanti supportato da una suite completa di prodotti per l’individuazione e il tracciamento avanzato delle minacce.
Per accedere a uno stack di rilevamento curato che affronta attività malevole legate al ransomware BlackSuit, premi il Esplora Rilevamenti pulsante qui sotto o cerca rilevamenti direttamente nel Threat Detection Marketplace usando il tag “BlackSuit Ransomware”.
Inoltre, i difensori cyber possono approfondire le TTP di Ignoble Scorpius esplorando uno stack di rilevamento accessibile con il tag “Ignoble Scorpius” nella piattaforma SOC Prime.
Tutte le regole di rilevamento sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e sono mappate al quadro MITRE ATT&CK. Inoltre, gli algoritmi di rilevamento sono arricchiti con metadati estesi, comprese CTI riferimenti, cronologie degli attacchi e raccomandazioni per il triage, semplificando le indagini sulle minacce.
Analisi del Ransomware BlackSuit
I ricercatori di Unit 42 hanno recentemente scoperto un picco di attività del ransomware BlackSuit dalla primavera del 2024, indicando un aumento delle campagne offensive. Il ceppo malfamato, che è un rebranding del ransomware Royal rappresentando una significativa minaccia per i difensori cibernetici dal 2023, è attribuito al gruppo tracciato come Ignoble Scorpius. Dopo il rebranding, sono state identificate oltre 93 vittime a livello globale, con circa il 25% concentrate nei settori della costruzione e manifatturiero, prevalentemente negli Stati Uniti.
Come il suo predecessore, BlackSuit gestisce anche un sito web oscuro di fuga di dati dove pubblica i nomi e i dati rubati delle sue vittime per costringerli a pagare un riscatto. Notevolmente, le richieste iniziali di riscatto del gruppo di solito si aggirano intorno all’1,6% delle entrate annuali dell’organizzazione vittima. Con un fatturato mediano delle vittime di circa 19,5 milioni di dollari tra i settori, queste richieste di riscatto rappresentano un sostanziale onere finanziario per le organizzazioni colpite.
Nell’agosto 2024, l’FBI e il CISA hanno emesso un avviso avvertendo i difensori di l’ascesa del ransomware BlackSuit e della sua crescente minaccia per le organizzazioni globali. Il consiglio di cybersecurity congiunto ha sottolineato le crescenti richieste di riscatto del gruppo che superano i 500 milioni di dollari.
Ignoble Scorpius impiega una gamma di tattiche per ottenere l’accesso iniziale, spesso utilizzando broker di accesso iniziale (IAB) che forniscono credenziali rubate o altro accesso non autorizzato alla rete. I ricercatori hanno identificato diversi metodi utilizzati dal gruppo, tra cui email di phishing con allegati malevoli, avvelenamento SEO tramite GootLoader, ingegneria sociale o vishing per acquisire credenziali VPN rubate, e compromessi della catena di approvvigionamento del software. Per l’estrazione delle credenziali, Ignoble Scorpius si affida frequentemente a strumenti come Mimikatz e NanoDump per ottenere un ulteriore accesso alla rete.
Dopo aver ottenuto accessi privilegiati, come i diritti di amministratore di dominio, i manutentori di BlackSuit scaricano il file NTDS.dit utilizzando ntdsutil per compromettere il controller di dominio. Per il movimento laterale, il gruppo impiega RDP, SMB e PsExec. Utilizzano anche driver e loader vulnerabili, identificati come STONESTOP e POORTRY, per disabilitare gli strumenti antivirus ed EDR e facilitare l’elusione del rilevamento.
Il carico utile principale del gruppo è il ransomware BlackSuit, che prende di mira sia le istanze Windows sia Linux, inclusi i server VMware ESXi. Strumenti aggiuntivi come Cobalt Strike e SystemBC sono usati per la persistenza e l’esecuzione dei comandi, anche se non è chiaro se siano stati distribuiti da Ignoble Scorpius o da un IAB.
La variante BlackSuit basata su Windows utilizza un argomento da riga di comando, -id, insieme a un identificatore univoco di 32 caratteri per prendere di mira le vittime e fornire accesso a una chat privata di negoziazione tramite la nota di riscatto. Per prevenire la reinfezione, il malware utilizza un mutex e impiega strumenti come PsExec e WMIC per distribuire ed eseguire il ransomware su centinaia di host tramite SMB. Inoltre, i ricercatori hanno osservato l’uso di VirtualBox per creare una macchina virtuale per la consegna del carico utile. Per garantire la massima crittografia, BlackSuit termina processi e servizi noti utilizzando Windows Restart Manager per chiudere i file aperti, evitando al contempo processi critici come Windows Explorer. La variante ESXi, che è basata su Linux, prende specificamente di mira le macchine virtuali e introduce due flag da riga di comando aggiuntivi rispetto alla sua controparte Windows.
Sebbene non ancora classificato tra le principali bande di ransomware, Ignoble Scorpius si distingue per condurre sofisticati attacchi alla catena di approvvigionamento, avendo compromesso almeno 93 organizzazioni senza un modello RaaS, che richiede una ultra-responsiveness dai difensori per aiutare le organizzazioni a minimizzare i rischi degli attacchi ransomware. Sfruttando la suite completa di prodotti di SOC Prime per l’ingegneria del rilevamento alimentata dall’AI, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce, le organizzazioni progressiste possono prevenire proattivamente gli attacchi ransomware e qualsiasi minaccia emergente di maggiore sofisticazione per ottimizzare il rischio della loro postura di cybersecurity.