Detecção de Ransomware BlackSuit: Ignoble Scorpius Escala Ataques, Visa Mais de 90 Organizações Mundialmente
Índice:
Surgindo no ano passado como o sucessor do ransomware Royal, BlackSuit evoluiu rapidamente para um spin-off malicioso altamente sofisticado, visando agressivamente organizações em todo o mundo. Pesquisadores de segurança observaram recentemente um aumento significativo na atividade do grupo Ignoble Scorpius, o operador por trás do BlackSuit, com mais de 90 organizações vítimas de suas intrusões incessantes.
Detectar o Ransomware BlackSuit
O ransomware BlackSuit está ganhando impulso em 2024, direcionando ativamente várias organizações com um foco acentuado nas indústrias de construção, manufatura e educação. Para se manter à frente dos potenciais ataques, os pesquisadores de segurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, oferecendo um conjunto de regras Sigma relevantes apoiadas por uma suíte completa de produtos para detecção e caça de ameaças avançadas.
Para acessar uma pilha de detecção curada abordando atividades maliciosas ligadas ao ransomware BlackSuit, clique no Explorar Detecções botão abaixo ou pesquise detecções diretamente no Threat Detection Marketplace usando a tag “BlackSuit Ransomware”.
Além disso, os defensores cibernéticos podem mergulhar nos TTPs do Ignoble Scorpius explorando uma pilha de detecção acessível pela tag “Ignoble Scorpius” na Plataforma SOC Prime.
Todas as regras de detecção são compatíveis com mais de 30 soluções de SIEM, EDR e Data Lake e são mapeadas para o MITRE ATT&CK framework. Além disso, os algoritmos de detecção são enriquecidos com metadados extensivos, incluindo CTI referências, cronogramas de ataque e recomendações de triagem, simplificando a investigação de ameaças.
Análise do Ransomware BlackSuit
Pesquisadores da Unit 42 descobriram recentemente um aumento na atividade do ransomware BlackSuit desde o início da primavera de 2024, indicando um aumento em campanhas ofensivas. A cepa notória, que é uma reformulação do ransomware Royal representando uma ameaça significativa para os defensores cibernéticos desde 2023, é atribuída ao grupo rastreado como Ignoble Scorpius. Após a reformulação, mais de 93 vítimas foram identificadas globalmente, com aproximadamente 25% concentradas nas indústrias de construção e manufatura, predominantemente nos Estados Unidos.
Como seu antecessor, o BlackSuit também executa um site de vazamento na dark web onde publica os nomes e dados roubados de suas vítimas para forçá-las a pagar um resgate. Notavelmente, os pedidos iniciais de resgate do grupo geralmente chegam a cerca de 1,6% da receita anual da organização vítima. Com uma receita média das vítimas de aproximadamente $19,5 milhões em diversas indústrias, essas demandas representam um fardo financeiro substancial para as organizações afetadas.
Em agosto de 2024, o FBI e o CISA emitiram um alerta avisando os defensores sobre o aumento do ransomware BlackSuit e sua crescente ameaça para as organizações globais. O conselho conjunto de cibersegurança apontou para o aumento das demandas de resgate do grupo, ultrapassando $500 milhões.
Ignoble Scorpius emprega uma variedade de táticas para obter acesso inicial, frequentemente utilizando Brokers de Acesso Inicial (IABs) que fornecem credenciais roubadas ou outro acesso não autorizado à rede. Pesquisadores identificaram vários métodos usados pelo grupo, incluindo emails de phishing com anexos maliciosos, envenenamento de SEO através do GootLoader, engenharia social ou vishing para adquirir credenciais VPN roubadas e compromissos na cadeia de suprimentos de software. Para a coleta de credenciais, o Ignoble Scorpius frequentemente confia em ferramentas como Mimikatz e NanoDump para obter maior acesso à rede.
Após obter acesso privilegiado, como direitos de administrador de domínio, os mantenedores do BlackSuit despejam o arquivo NTDS.dit usando o ntdsutil para comprometer o controlador de domínio. Para movimento lateral, o grupo emprega RDP, SMB e PsExec. Eles também utilizam drivers e carregadores vulneráveis, identificados como STONESTOP e POORTRY, para desabilitar ferramentas de antivírus e EDR e facilitar a evasão de detecção.
A carga útil principal do grupo é o ransomware BlackSuit, que visa instâncias de Windows e Linux, incluindo servidores VMware ESXi. Ferramentas adicionais como Cobalt Strike e SystemBC são usadas para persistência e execução de comandos, embora não seja claro se foram implantadas pelo Ignoble Scorpius ou por um IAB.
A variante BlackSuit baseada no Windows utiliza um argumento de linha de comando, -id, junto com um identificador único de 32 caracteres para direcionar vítimas e fornecer acesso a um chat privado de negociação através da nota de resgate. Para prevenir reinfecção, o malware usa um mutex e emprega ferramentas como PsExec e WMIC para distribuir e executar o ransomware em centenas de hosts via SMB. Além disso, os pesquisadores notaram o uso de VirtualBox para criar uma máquina virtual para a entrega da carga útil. Para garantir a máxima criptografia, o BlackSuit termina processos e serviços conhecidos usando o Gerenciador de Reinicialização do Windows para fechar arquivos abertos, enquanto evita processos críticos como o Windows Explorer. A variante ESXi, que é baseada em Linux, especificamente visa máquinas virtuais e introduz dois flags adicionais de linha de comando em comparação com sua contraparte do Windows.
Apesar de ainda não estar classificado entre as principais gangues de ransomware, o Ignoble Scorpius se destaca por conduzir ataques sofisticados na cadeia de suprimentos, tendo comprometido pelo menos 93 organizações sem um modelo RaaS, o que requer ultra-responsividade dos defensores para ajudar as organizações a minimizarem os riscos de ataques de ransomware. Ao alavancar a suíte completa de produtos da SOC Prime para engenharia de detecção movida por IA, caça de ameaças automatizada e detecção avançada de ameaças, organizações progressistas podem proativamente frustrar ataques de ransomware e quaisquer ameaças emergentes de sofisticação aumentada para otimizar seu posicionamento de cibersegurança contra riscos.