Novo Ransomware Strain BlackSuit para Linux é quase igual ao Royal

Brasil sofreu cerca de 1.600 ataques de ransomware no primeiro semestre de 2023

Análise revela semelhanças entre uma nova variante Linux do ransomware chamada BlackSuit com outra família de ransomware chamada Royal. Essa análise foi conduzida pela Trend Micro, que examinou uma versão x64 do VMware ESXi voltada para máquinas Linux, disse ter identificado um “grau extremamente alto de semelhança” entre Royal e BlackSuit.

De acordo com os pesquisadores da Trend Micro, os ransomwares são quase idênticos, “com 98% de semelhanças em funções, 99,5% de semelhanças em blocos e 98,9% de semelhanças em saltos com base no BinDiff, uma ferramenta de comparação para arquivos binários”.

Novo Ransomware Linux Strain BlackSuit

Uma comparação dos artefatos do Windows identificou 93,2% de similaridade em funções, 99,3% em blocos básicos e 98,4% em saltos baseados em BinDiff. O BlackSuit apareceu pela primeira vez no início de maio de 2023, quando a Unidade 42 da Palo Alto Networks chamou a atenção para sua capacidade de atingir hosts Windows e Linux.

novo-ransomware-strain-blacksuit-para-linux-e-quase-igual-ao-royal

Em linha com outros grupos de ransomware, essa nova cepa executa um esquema de dupla extorsão que rouba e criptografa dados confidenciais em uma rede comprometida em troca de compensação monetária. Os dados associados a uma única vítima foram listados em seu site de vazamento na dark web.

Semelhanças com outro Ransomware

As descobertas mais recentes da Trend Micro mostram que tanto o BlackSuit quanto o Royal usam o AES do OpenSSL para criptografia e utilizam técnicas de criptografia intermitentes semelhantes para acelerar o processo de criptografia. Além das sobreposições, o BlackSuit incorpora argumentos de linha de comando adicionais e evita uma lista diferente de arquivos com extensões específicas durante a enumeração e a criptografia.

O surgimento do ransomware BlackSuit (com suas semelhanças com o Royal) indica que é uma nova variante desenvolvida pelos mesmos autores, um imitador usando código semelhante ou um afiliado da gangue de ransomware Royal que implementou modificações na família original.

Trend Micro

Dado que Royal é um desdobramento da antiga equipe Conti, também é possível que “BlackSuit tenha surgido de um grupo dissidente dentro da gangue original de ransomware Royal”, teorizou a empresa de segurança cibernética.

O desenvolvimento mais uma vez ressalta o estado constante de fluxo no ecossistema do ransomware, mesmo quando novos agentes de ameaças surgem para ajustar as ferramentas existentes e gerar lucros ilícitos. Isso inclui uma nova iniciativa de ransomware como serviço (RaaS), codinome NoEscape, que a Cyble disse permitir que seus operadores e afiliados aproveitem os métodos de extorsão tripla para maximizar o impacto de um ataque bem-sucedido.

A extorsão tripla refere-se a uma abordagem de três frentes em que a exfiltração e a criptografia de dados são combinadas com ataques distribuídos de negação de serviço (DDoS) contra os alvos em uma tentativa de interromper seus negócios e coagi-los a pagar o resgate.