BlackSuit-Ransomware: 8 Jahre, 6 Namen, 1 Cybercrime-Syndikat

Es ist fast 20 Jahre her, dass Ransomware zu einer bedeutenden Bedrohung wurde, und einige der produktivsten modernen Bedrohungen von heute sind die Ur-Ur-Ur-Enkel der ursprünglichen berüchtigten Stämme. Das trifft im Fall der BlackSuit-Ransomware zu, einer Operation, die erst vor sechs Monaten als fünftgefährlichste Bedrohung für das öffentliche Gesundheitswesen der USA identifiziert worden war.

Ein langsamer Start?

BlackSuit ist ein privater Ransomware-Anbieter ohne bekannte Tochterunternehmen und operiert nicht als Ransomware-as-a-Service (RaaS). Sie ist jetzt eine aktive und weit verbreitete Bedrohung, aber das war 2023 noch nicht der Fall. BlackSuit wurde erstmals im zweiten Quartal 2023 beobachtet, machte aber bis Ende des Jahres weniger als ein halbes Prozent aller Ransomware-Angriffe aus. Dies könnte den Anschein erwecken, dass sich bei BlackSuit eine Zeit lang nicht viel getan hat, aber das ist bei erfolgreichen Bedrohungsoperationen selten der Fall.

Organisierte Bedrohungsakteure machen nie Pause und die Angriffe, die wir beobachten, sind nur ein Teil ihres „Geschäfts“. Überlegen wir einmal, was bei einer Ransomware-Operation eigentlich passiert:

• Kontinuierliche Codeentwicklung, um sicherzustellen, dass ihre Ransomware/Malware funktioniert und schwer zu erkennen ist
• Entwicklung der Infrastruktur, wie z.B. Command-and-Control-Server (C2), Zahlungssysteme, Kommunikationskanäle, Leckstellen, etc.
• Strategische Entwicklung von Taktiken, Techniken und Verfahren (TTPs) zur Durchführung von besonders wirksamen und schädlichen Angriffen
• Recherchen zu Opfern und Zielen, damit sich die Gruppe auf hochwertige Ziele konzentrieren kann
• Rekrutierung und Schulung von Mitgliedern (oder RaaS-Mitgliedern), um sicherzustellen, dass die Gruppe auf eine Ausweitung der Aktivitäten vorbereitet ist

Dies sind nur einige der Dinge, die sich im Hintergrund abspielen, wenn Bedrohungsakteure ihre Operationen verbessern. Viele Dinge müssen geschehen, bevor eine Gruppe ihre Angriffe eskalieren kann. Wir sind uns nicht sicher, was BlackSuit im Jahr 2023 gemacht hat, aber ihre Bedrohungsaktivität eskalierte schnell am Ende des Jahres. Bis Februar 2024 war BlackSuit eine der aktivsten Ransomware-Bedrohungen.

Wie funktioniert BlackSuit?

Lassen Sie uns die Infektionskette von BlackSuit aufschlüsseln, beginnend mit dem ersten Zugriff. Wie viele andere Bedrohungsakteure verwendet auch BlackSuit Phishing-E-Mails, die bösartige Anhänge oder Links enthalten, die beim Öffnen den Infektionsprozess starten. Die infizierten Anhänge verwenden häufig Makros, um den Code auszuführen, und die Links können zu bösartigen Websites führen, die Drive-by-Download-Angriffe durchführen. Die Gruppe nutzt auch Malvertising, um Nutzer auf ihre Angriffsseiten umzuleiten.

Das Remote-Desktop-Protokoll (RDP) ist der zweithäufigste Vektor für den Erstzugang. Ungefähr 13,3 % der BlackSuit-Angriffe beginnen hier, häufig mit gestohlenen Anmeldeinformationen, die BlackSuit von Initial Access Brokern gekauft hat.

BlackSuit nutzt auch öffentlich zugängliche Anwendungen aus, die falsch konfiguriert, nicht gepatcht oder anderweitig anfällig für Angriffe sind.

Eines der beliebtesten Tools von BlackSuit ist SystemBC, ein Remote Access Trojaner (RAT) , der es Bedrohungsakteuren ermöglicht, über eine anonyme Proxy-Verbindung Command-and-Control-Funktionen (C2) einzurichten. Das Folgende ist eine einfache Illustration dieser C2-Konnektivität:

Wir beschränken uns hier auf einen allgemeinen Überblick, eine vollständige technische Aufschlüsselung einer BlackSuit-Infektion finden Sie hier.

Sobald BlackSuit auf ein System zugegriffen hat, versuchen die Bedrohungsakteure, Persistenz aufzubauen, Privilegien zu eskalieren und laterale Bewegungen einzuleiten. Für diese Operationen werden mehrere Tools verwendet:

• PowerShell: Eine plattformübergreifende Suite zur Aufgabenautomatisierung, die ursprünglich 2006 als Microsoft Windows-Komponente veröffentlicht wurde. Die PowerShell-Funktionen ermöglichen es Bedrohungsakteuren, viele Arten von bösartigen Aktivitäten im Netzwerk des Opfers durchzuführen. Die PowerShell-Dokumentation von Microsoft finden Sie hier und hier einen Artikel zur Verwendung von PowerShell bei Ransomware-Angriffen.
• PSExec: Legitime Systemsoftware, mit der Sie Prozesse auf anderen Systemen ausführen und vollständig mit Konsolenanwendungen interagieren können, ohne Clientsoftware installieren zu müssen. Die Microsoft-Dokumentation für PSExec finden Sie hier.
• Cobalt Strike: Ein kommerzielles Tool zur Simulation von Angriffen und Aktionen nach einem Angriff. Weitere Informationen darüber, warum Bedrohungsakteure diese Software bei ihren Angriffen verwenden, finden Sie auf der MITRE ATT & CK-Seite hier.
• Mimikatz: Ein Passwort-Diebstahlprogramm, das ursprünglich entwickelt wurde, um Microsoft zu zeigen, dass seine Authentifizierungsprotokolle für einen Angriff anfällig sind. Mimikatz kann verschiedene Schwachstellen aufweisen, um Passwörter zu stehlen. Hier finden Sie Einzelheiten.

Sobald dies geschehen ist, beginnt BlackSuit mit der Exfiltration der Daten und droht damit, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Opfer kein Lösegeld zahlt. Sie löschen auch Volume-Schattenkopien, um die Wiederherstellung zu behindern, und manchmal verschlüsseln oder löschen sie die Backup-Dateien des Unternehmens.

Der nächste Schritt ist die Bereitstellung der Ransomware-Nutzlast. BlackSuit verschlüsselt Dateien über lokale und Netzwerklaufwerke hinweg mit automatisierten Skripten oder Remote-Tools. Die Angreifer verschleiern normalerweise den Namen der ausführbaren Verschlüsselungsdatei, indem sie etwas wie „explorer.exe“ verwenden. oder „abc123.exe“.

BlackSuit verwendet eine partielle Verschlüsselungsstrategie, die den Verschlüsselungsprozess wesentlich schneller macht. Die Idee dahinter ist, dass eine partielle Verschlüsselung weniger wahrscheinlich Sicherheitswarnungen auslöst und mehr Dateien in kürzerer Zeit beschädigt.

Verschlüsselte Dateien werden mit .blacksuit umbenannt und eine Lösegeldforderung namens "README.BlackSuit.txt" wird auf dem Desktop und in allen Ordnern mit verschlüsselten Dateien abgelegt. 

Die Lösegeldforderung bietet einen Decryption-Key und den Schutz Ihrer gestohlenen Dateien im Austausch für ein Lösegeld an - die typische doppelte Erpressungsdrohung. Mittlerweile ist das Opfer auf der Shame-/Leak-Site BlackSuit aufgeführt.

BlackSuit zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Die Linux-Variante zielt auf VMware ESXi-Server ab und verwendet ESXi-Befehle, Linux-Befehlszeilenargumente und andere Linux-kompatible Tools, um den Angriff durchzuführen.

Bekannte Opfer

BlackSuit hat Organisationen aus verschiedenen Branchen und Ländern ins Visier genommen. S-RM berichtet, dass die meisten Opfer US-Unternehmen sind, und 88 % von ihnen waren Unternehmen mit weniger als 1.000 Mitarbeitern. 

Die große Lösegeldforderung von BlackSuit kam, als sie CDK Global trafen, ein amerikanisches multinationales Unternehmen, das Dealer-Management-Systeme und andere Software und Dienstleistungen für etwa 15.000 Autohäuser in ganz Nordamerika anbietet. Den Autohäusern entstanden durch Geschäftsunterbrechungen und Wiederherstellungskosten schätzungsweise Verluste in Höhe von einer Milliarde Dollar .

Eine nicht identifizierte Quelle sagte Bloomberg, dass CDK plante, das Lösegeld zu zahlen, und eine Krypto-Tracking-Firma beobachtete eine Bitcoin-Zahlung in Höhe von 25 Millionen Dollar auf ein von BlackSuit kontrolliertes Konto. Dies ist die drittgrößte Ransomware-Zahlung, die beobachtet oder gemeldet wurde, nach Dark Angels/unbekanntes Opfer mit 75 Millionen Dollar und Phoenix/CNA Financial mit 40 Millionen Dollar.

Im April 2024 hat die Gruppe auch den Betrieb von mehr als 160 Blutplasmaspendezentren unterbrochen. Dabei handelte es sich um einen Angriff auf Octapharma Plasma, das in über 100 Ländern tätig ist und Spendenzentren in 35 US-Bundesstaaten hat. BlackSuit soll Octapharma Plasma infiltriert haben, indem es die ESXi-Systeme des Unternehmens mit der oben erwähnten Linux-Variante angriff.

BlackSuit hat auch ZooTampa, die brasilianische Regierung, Western Municipal Construction und viele andere gestört.

Abstammung

BlackSuit ist nicht einfach aus dem Nichts aufgetaucht. Der Name ist geblieben, aber die einzelnen Mitglieder des Verbrechersyndikats gibt es schon seit vielen Jahren.

Im Februar 2016 tauchte die Hermes-Ransomware auf der Bildfläche auf. Die Hermes-Ransomware-Variante wurde als „Commodity-Ransomware“ betrachtet, da sie in Untergrundforen verkauft und dort für den Einsatz durch viele andere Bedrohungsakteure erworben wurde. Später wurde es in ein Ransomware-as-a-Service (RaaS)-Angebot umgewandelt, bevor es 2018 auslief.

Die Ryuk-Ransomware tauchte im August 2018 auf und Forscher konnten Ryuk aufgrund von Code-Ähnlichkeiten schnell mit Hermes in Verbindung bringen. Die Ryuk-Operation schuf einen ausgeklügelteren und zerstörerischeren Stamm und war möglicherweise die erste, die Angriffe auf die Großwildjagd durchführte. Ryuk wurde häufig nach anderer malware wie TrickBot eingesetzt, was es zu einem Teil einer größeren und zerstörerischeren Angriffskette machte.

Bislang waren die Ursprünge von Hermes und Ryuk nicht klar. Einige Forscher vermuteten, dass Hermes und später Ryuk von der nordkoreanischen Gruppe Stardust Chollima (Lazarus Group, APT38) entwickelt worden war. Andere dachten, sie stünden in Verbindung mit einem Bedrohungsakteur in Russland, bekannt als Wizard Spider (FIN12, UNC1878). Analysten waren sich schließlich einig, dass Hermes und Ryuk russischen Ursprungs waren.

Die Conti-Ransomware tauchte im Dezember 2019 auf, etwa zur gleichen Zeit, als Ryuk zu verstummen begann. Die beiden Ransomware-Stämme wurden durch Code- und Infrastrukturähnlichkeiten sowie durch Beweise, die bestimmte Conti-Mitglieder mit Ryuk-Adressen in Verbindung bringen, miteinander verknüpft. Conti operierte als RaaS und sammelte viele hohe Lösegelder ein, bis die Verantwortlichen im Februar 2022 öffentlich ihre Unterstützung für die russische Invasion in der Ukraine bekannt gaben. 

Ein ukrainischer Forscher mit Zugang zu Conti-Ressourcen reagierte, indem er sensible Conti-Informationen an die Medien weiterleitete und private Mitteilungen auf X (früher Twitter) veröffentlichte. Er veröffentlichte auch den Quellcode für die Conti-Ransomware-Malware-Dateien.

Der Schaden war so groß, dass die Marke Conti zerstört wurde, und die Mitglieder verteilten sich strategisch auf mehrere neue und bestehende Gruppen im Ransomware-Ökosystem. 

Möglicherweise sind die Conti-Mitglieder über den oben dargestellten Bereich „Fusionen und Übernahmen“ bei der Ransomware-Gruppe Zeon gelandet, die erstmals im Januar 2022 beobachtet wurde. Zeon begann als einfache Ransomware der Standardstufe. Die Gruppe benannte sich bald in „Royal Ransomware“ um und übernahm fortgeschrittenere Conti-ähnliche Operationen. Royal stellte seine Angriffe im Juli 2023 nach seinem Aufsehen erregenden Angriff auf die Stadt Dallas ein. Zu diesem Zeitpunkt wurde Royal in BlackSuit umbenannt. Forscher vermuten, dass diese Umbenennung dazu diente, die Strafverfolgung zu umgehen und das Unternehmen für potenzielle Partner attraktiver zu machen.

BlackSuit heute

Bevor sie verschwand, begann die Royal-Ransomware-Gruppe mit einem neuen Verschlüsselungsprogramm namens BlackSuit zu experimentieren. Das veranlasste viele Branchenanalysten, richtig vorherzusagen, dass Royal ein Rebranding in BlackSuit plant. Im Juni 2023, weniger als einen Monat nach dem Erscheinen von BlackSuit, stellten Forscher fest, dass die beiden Stämme „fast identisch“ sind. Aus diesem Grund bezeichnen viele Forscher die Ransomware BlackSuit und Royal als eine einzige Einheit. Zum Beispiel schreiben Experten BlackSuit seit 2022 über 350 Angriffe und 275 Millionen $ an Lösegeldforderungen zu, obwohl BlackSuit erst 2023 der Name der Gruppe war.

Trotz der Ähnlichkeiten machen die BlackSuit-Operatoren einige Dinge anders:

1. Die Malware verwendet eine verbesserte Teilverschlüsselung und verbesserte Umgehungstechniken und die Entwickler haben weitere Optionen zur Datenexfiltration hinzugefügt, etwa RClone und Brute Ratel.
2. Die Angreifer verlangen höhere Lösegeldbeträge, in der Regel zwischen 1 und 10 Millionen US-Dollar. Sie sind auch aggressiver bei der Eintreibung des Lösegelds und kontaktieren ihre Opfer per Telefon oder E-Mail, um sie zur Zahlung zu drängen.
3. BlackSuit hat seine Targeting-Fähigkeiten erweitert, indem es IP-Überprüfungsmöglichkeiten und Argumente zur Angabe von Zielverzeichnissen hinzugefügt hat.

BlackSuit ist eine aktuelle Bedrohung. In den letzten Wochen wurden Dutzende neuer Opfer auf seiner Leak-Seite veröffentlicht. Sie können sich gegen diese Bedrohung verteidigen, indem Sie mit den Grundlagen beginnen:

1. Stellen Sie sicher, dass Sie über eine starke E-Mail-Sicherheit und ein hohes Phishing-Bewusstsein verfügen. Phishing ist der Hauptvektor für das Eindringen von BlackSuit.
2. Erzwingen Sie eine mehrstufige Authentifizierung und den Zugriff mit geringsten Privilegien. Dadurch wird es für Angreifer schwieriger, sich mit gestohlenen Zugangsdaten anzumelden, und es wird eingeschränkt, was der Eindringling entdecken kann.
3. Halten Sie Systeme und Anwendungen auf dem neuesten Stand. BlackSuit nutzt Schwachstellen in Software, Firmware und Betriebssystemen aus.
4. Segmentieren Sie Ihr Netzwerk, um seitliche Bewegungen im Falle eines Einbruchs einzuschränken. Dadurch wird der Explosionsradius verringert und der potenzielle Schaden auf kleinere Bereiche begrenzt.
5. Nutzen Sie die erweiterte Endpunkt-Erkennung, die kontinuierliche Netzwerküberwachung und die automatische Reaktion auf Vorfälle. Dadurch werden verdächtige Aktivitäten in Echtzeit erkannt und unterbunden.  
6. Führen Sie sichere Backups kritischer Daten durch, auch offline, und testen Sie diese regelmäßig, um sicherzustellen, dass sie wie erwartet funktionieren.
7. Deaktivieren Sie wenn möglich das Remote Desktop Protocol (RDP), da es den zweitgrößten Angriffspunkt für die BlackSuit-Ransomware darstellt.

Es gibt keinen Grund, Opfer von BlackSuit oder einer anderen Ransomware zu werden. Schützen Sie Ihre Anmeldedaten, sichern Sie Ihre Anwendungen und unterhalten Sie ein gutes Backup-System, das alle wichtigen Daten schützt. Nutzen Sie kostenlose Ressourcen wie Stop Ransomware, und rufen Sie uns an, damit wir Ihnen helfen können , jeden Bedrohungsvektor von Ransomware-Angriffen abzuwehren.

Barracuda kann helfen

Barracuda bietet eine umfassende Cybersecurity-Plattform an, die Unternehmen vor allen wichtigen Angriffsvektoren schützt, die in den heutigen komplexen Bedrohungen vorkommen. Barracuda bietet preisgünstige, funktionsreiche Lösungen aus einer Hand an, die vor einer Vielzahl von Bedrohungsvektoren schützen und von einem umfassenden und von Awards gekrönten Kundenservice abgerundet werden. Da Sie mit einem einzigen Anbieter zusammenarbeiten, profitieren Sie von einer reduzierten Komplexität, einer höheren Effektivität und niedrigeren Gesamtbetriebskosten. Hunderttausende von Kunden weltweit vertrauen Barracuda den Schutz ihrer E-Mails, Netzwerke, Anwendungen und Daten an.