Uma análise da variante Linux de uma nova cepa de ransomware chamada BlackSuit tem semelhanças significativas com outra família de ransomware chamada Royal. A Trend Micro, que examinou uma versão x64 do VMware ESXi voltada para máquinas Linux, disse ter identificado um “grau extremamente alto de semelhança” entre Royal e BlackSuit.
“Na verdade, eles são quase idênticos, com 98% de semelhanças em funções, 99,5% de semelhanças em blocos e 98,9% de semelhanças em saltos com base no BinDiff, uma ferramenta de comparação para arquivos binários”, observaram os pesquisadores da Trend Micro.
Uma comparação dos artefatos do Windows identificou 93,2% de similaridade em funções, 99,3% em blocos básicos e 98,4% em saltos baseados em BinDiff.
O BlackSuit apareceu pela primeira vez no início de maio de 2023 , quando a Unidade 42 da Palo Alto Networks chamou a atenção para sua capacidade de atingir hosts Windows e Linux.
Novo Linux Ransomware Strain BlackSuit mostra semelhanças impressionantes com Royal
Em linha com outros grupos de ransomware, ele executa um esquema de dupla extorsão que rouba e criptografa dados confidenciais em uma rede comprometida em troca de compensação monetária. Os dados associados a uma única vítima foram listados em seu site de vazamento na dark web.
As descobertas mais recentes da Trend Micro mostram que tanto o BlackSuit quanto o Royal usam o AES do OpenSSL para criptografia e utilizam técnicas de criptografia intermitentes semelhantes para acelerar o processo de criptografia.
Além das sobreposições, o BlackSuit incorpora argumentos de linha de comando adicionais e evita uma lista diferente de arquivos com extensões específicas durante a enumeração e a criptografia.
“O surgimento do ransomware BlackSuit (com suas semelhanças com o Royal) indica que é uma nova variante desenvolvida pelos mesmos autores, um imitador usando código semelhante ou um afiliado da gangue de ransomware Royal que implementou modificações na família original, “Trend Micro disse.
Dado que Royal é um desdobramento da antiga equipe Conti, também é possível que “BlackSuit tenha surgido de um grupo dissidente dentro da gangue original de ransomware Royal”, teorizou a empresa de segurança cibernética.
O desenvolvimento mais uma vez ressalta o estado constante de fluxo no ecossistema do ransomware, mesmo quando novos agentes de ameaças surgem para ajustar as ferramentas existentes e gerar lucros ilícitos.
Outros detalhes
Isso inclui uma nova iniciativa de ransomware como serviço (RaaS), codinome NoEscape, que a Cyble disse permitir que seus operadores e afiliados aproveitem os métodos de extorsão tripla para maximizar o impacto de um ataque bem-sucedido.
A extorsão tripla refere-se a uma abordagem de três frentes em que a exfiltração e a criptografia de dados são combinadas com ataques distribuídos de negação de serviço (DDoS) contra os alvos em uma tentativa de interromper seus negócios e coagi-los a pagar o resgate.
O serviço DDoS, por Cyble, está disponível por uma taxa adicional de $ 500.000, com as operadoras impondo condições que proíbem afiliados de atacar entidades localizadas nos