• XSS.stack #1 – первый литературный журнал от юзеров форума

Энциклопедия хакерских группировок

Отслеживать
Parabellum_Clan

Parabellum_Clan

(L3) cache
Пользователь
Регистрация
17.10.2023
Сообщения
231
Реакции
166
Frame 28.png

Энциклопедия Хак-группировок уже здесь! 🔍

Мы рады представить вам Энциклопедию хак-группировок – всесторонний и детализированный ресурс, посвящённый изучению самых влиятельных и известных групп в мире киберпреступности. В нашем издании вы найдёте:
- Техники и методы атаки, используемые хакерами
- Историческое происхождение и географическая привязка группировок
- Идеологические мотивы и структурная организация
- Внутренние связи, альянсы и взаимодействие с государственными структурами
- Профили ключевых фигур и описание известных операций

Мы стремимся создать сообщество исследователей и специалистов по информационной безопасности. Поэтому любой желающий может предложить группировку для разбора или самостоятельно выложить свой анализ в ответах к этой теме. Ваш вклад поможет сделать нашу энциклопедию ещё более полной и полезной для всех!

Присоединяйтесь к обсуждению, делитесь своими знаниями и вместе мы сможем глубже понять динамику развития, тактики и методы этих самых группировок!
 

BlackSuit Ransomware

Ransomware BlackSuit является ребрендированной версией печально известного ransomware Royal, который появился в результате усиленных действий правоохранительных органов против первоначальной группы. Этот ребрендинг означает стратегический сдвиг, направленный на уклонение от обнаружения и продолжение их киберпреступной деятельности под новым именем. Ransomware Royal, теперь известный как BlackSuit, имеет дурную репутацию зацеливания высокопрофильных секторов и требование значительных выкупов.

Логотип группировки:
blacksuit-logo.png.png


Кто такие BlackSuit Ransomware?

BlackSuit впервые появился в мае 2023 года и, по-видимому, тесно связан с группой ransomware Royal, которая сама по себе возникла из остатков печально известной группы Conti.
Frame 1.png

В ноябре 2023 года CISA и FBI обновили свой совместный Кибербезопасный Совет (CSA) по ransomware Royal в рамках инициативы #StopRansomware, выделив его влияние на критические секторы, такие как производство, коммуникации, здравоохранение и образование. С сентября 2022 года ransomware Royal нацелился на более чем 350 жертв по всему миру, требуя выкупов, превышающих 275 миллионов долларов.
Позже в совете предупреждали о возможном ребрендинге в BlackSuit Ransomware, отметив схожие характеристики кода. Обновление включало подробные Тактики, Техники и Процедуры (TTP) и Индикаторы Компометации (IoC), выявленные FBI.

Методы Действия

Ransomware BlackSuit использует различные методы для проникновения в системы жертв. Одним из распространенных способов является фишинговые электронные письма, где злоумышленники отправляют обманные сообщения, предназначенные для того, чтобы заставить получателей кликнуть на вредоносные ссылки или скачать зараженные вложения. Эти электронные письма часто выглядят законными, что облегчает злоумышленникам достижение своих целей.
blacksuit-data-leak.png.png

Кроме того, BlackSuit использует известные уязвимости в программном обеспечении и системах для получения несанкционированного доступа. Этот метод использует недостатки в устаревшем или непатченом программном обеспечении, позволяя ransomware обходить системы защиты. Использование этих уязвимостей является критически важным компонентом стратегии проникновения BlackSuit, так как он нацелен на слабые места в широко используемых приложениях и системах.

BlackSuit также использует легитимные инструменты в злонамеренных целях. Такие инструменты, как Chisel и Cloudflared, применяются для туннелирования сетей, что позволяет злоумышленникам обходить межсетевые экраны и другие меры сетевой безопасности. Эти инструменты создают защищенные каналы связи, которые трудно обнаружить традиционными системами безопасности. Кроме того, BlackSuit использует AnyDesk и MobaXterm для установления и поддержания удаленного доступа к скомпрометированным системам. Эти легитимные инструменты удаленного доступа переориентированы для обеспечения злоумышленниками постоянного доступа, позволяя им контролировать и мониторить зараженные системы в течение длительного времени.

Наиболее Целевые Отрасли для BlackSuit Ransomware

Ransomware BlackSuit нацеливается на разнообразные отрасли, часто фокусируясь на секторах, где сбои могут иметь серьезные последствия.
most-targeted-industries.png.png

Значимые цели включают:
  • Здравоохранение: Больницы и медицинские учреждения являются основными целями из-за критической важности их операций и чувствительности их данных. Сбои в здравоохранении могут иметь жизнеугрожающие последствия, что делает эти учреждения более склонными платить выкупы для быстрого восстановления операций. Образование, которое занимает первое место, может иметь аналогичные характеристики, хотя оно не столь чувствительно, как здравоохранение.
  • Критическая Инфраструктура: Это включает такие сектора, как энергетика, водоснабжение и транспорт, которые необходимы для общественной безопасности и экономической стабильности. Атаки на эти секторы могут вызвать широкомасштабные сбои, затронув большие населенные пункты и создавая значительное давление для быстрого разрешения инцидента.
  • Крупные Предприятия: Бизнесы с существенными финансовыми ресурсами часто становятся целями, поскольку у них есть средства для оплаты значительных выкупов. Эти предприятия также хранят огромное количество конфиденциальных данных, что делает их привлекательными целями для эксфильтрации данных и последующего вымогательства.
Требования по выкупу от BlackSuit обычно существенные, отражая высокие ставки выбранных целей. Группа использует тактику двойного вымогательства: они эксфильтруют конфиденциальные данные перед шифрованием файлов, угрожая их утечкой, если выкуп не будет оплачен. Такой подход усиливает давление на жертв, заставляя их соответствовать требованиям по выкупу, чтобы предотвратить как операционные сбои, так и утечки данных. Ransomware шифрует файлы с использованием сильных алгоритмов шифрования, делая данные недоступными без ключа расшифровки, предоставляемого злоумышленниками после оплаты.

Дополнительные Технические Детали

В анализах, проведенных в 2023 году, было обнаружено, что ransomware BlackSuit сохранил большую часть исходного кода от ransomware Royal, демонстрируя более 90% сходство кода. Это указывает на то, что BlackSuit наследует многие технические характеристики Royal.
blacksuit-royal-similarity.png.png

Схожесть BlackSuit с Royal (Trend Micro)
  • Методы Шифрования: BlackSuit использует надежные алгоритмы шифрования для блокировки файлов, что делает расшифровку чрезвычайно сложной без ключа, предоставленного злоумышленниками. Полезная нагрузка ransomware BlackSuit, разработанная как для систем Windows, так и для Linux, использует реализацию AES из OpenSSL для шифрования данных. Шифрование спроектировано быть эффективным и быстрым, обеспечивая быстрое недоступное состояние значительной части данных жертвы, тем самым увеличивая давление для оплаты выкупа.
  • Кража Учетных Данных: Для повышения привилегий и горизонтального перемещения внутри сети жертвы BlackSuit использует инструменты, такие как Mimikatz. Этот инструмент позволяет злоумышленникам добывать учетные данные из памяти, что дает им доступ к дополнительным системам и учетным записям внутри сети. Получая учетные данные высокого уровня, BlackSuit может обходить меры безопасности и расширять свое воздействие в организации.
  • Механизмы Устойчивости: BlackSuit поддерживает свое присутствие в скомпрометированных системах с помощью легитимных инструментов удаленного доступа, таких как AnyDesk и MobaXterm. Эти инструменты позволяют злоумышленникам устанавливать и поддерживать удаленный контроль над зараженными системами. Эта устойчивость обеспечивает возможность злоумышленников мониторить системы, выполнять дополнительные команды и потенциально повторно инфицировать сеть, если первоначальные усилия по устранению не были тщательными.
  • Туннелирование Сетей: Для обхода традиционных мер безопасности, таких как межсетевые экраны, BlackSuit использует инструменты туннелирования сетей, такие как Chisel и Cloudflared. Эти инструменты позволяют создавать защищенные каналы связи, которые трудно обнаружить, позволяя злоумышленникам перемещать данные внутрь и наружу сети незамеченными. Эта возможность особенно полезна для эксфильтрации конфиденциальных данных перед шифрованием, что является критическим компонентом их стратегии двойного вымогательства.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх