Black Suit Ransomware Update
El grupo de ransomware Black Suit fue visto por primera vez en mayo de 2023, tiene fuertes vínculos con el grupo inactivo Royal, que a su vez nació de las cenizas del extinto grupo Conti. Se cree que la variante de Black Suit es el sucesor directo de Conti, grupo inactivo desde 2022 y que, según Ransom-DB, es el segundo grupo con más ataques de la historia, solo por detrás de LockBit 3.0. Ya se ha hablado sobre Black Suit en otro boletín de Alestra CERT, sin embargo, la actividad que ha tenido el grupo en los últimos meses lo colocan como uno de los más peligrosos. En este boletín se presentará información reciente sobre el ransomware, así como la taxonomía de ataque y nuevos indicados de compromiso.
No se puede considerar que Black Suit sea un ransomware-as-a-service (RaaS), ya que no hay evidencias de clientes que hayan tenido. Todo indica que los hackers detrás del ransomware estén contentos con mantener el poder del arma solo para ellos. Suelen atacar empresas dentro del sector manufacturero, de comunicaciones, salud y educación. Los ataques de Phishing suelen ser la entrada principal para el despliegue de este ransomware.
Después de obtener acceso a las redes de la víctima, los ciberdelincuentes desactivan el antivirus y exfiltran grandes cantidades de información, antes de finalmente desplegar el ransomware y encriptar todos los archivos de los sistemas. Suelen pedir un pago de rescate de entre 1 y 11 millones de dólares, en Bitcoin. Black Suit encripta los archivo de tu sistema de Windows o Linux, y les agrega la extensión .blacksuit. Además, cambia el fondo de escritorio y deja una nota de rescate llamada “README.blacksuit.txt”, que contiene las instrucciones para ponerse en contacto con el grupo de ransomware vía una página de onion (accesible desde el navegador Tor), conocer la cantidad del pago de rescate, poder chatear y negociar el pago.
Los archivos maliciosos comúnmente se encuentran en los siguientes directorios:
- C:\Temp\
- C:\Users\\AppData\Roaming\
- C:\Users\\
- C:\ProgramData\
Taxonomía de ataque
| Táctica | Técnica | ID |
| Initial Access | Phishing | T1566 |
| Initial Access | Exploit Public-Facing Application | T1190 |
| Command and Control | Ingress Tool Transfer | T1105 |
| Command and Control | Protocol Tunneling | T1572 |
| Lateral Movement | Remote Services | T1021 |
| Lateral Movement | Software Deployment Tools | T1072 |
| Persistence | External Remote Services | T1133 |
| Exfiltration | Exfiltration over C2 channel | T1041 |
| Enterprise | Data Encrypted for Impact | T1486 |
Recomendaciones
- Mantener todos los sistemas y software actualizados para evitar vulnerabilidades.
- Tener filtros de correo electrónico y spam.
- Auditar herramientas de acceso remoto.
- Revisar logs para de ejecución de software de acceso remoto.
- Limitar estrictamente el uso de RDP.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad o backups constantemente, manteniéndolos en una ubicación segura.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR bien configurada.
| Tipo | Indicador de Compromiso | Descripción |
| Domain | altocloudzone[.]live | |
| Domain | ciborkumari[.]xyz | |
| Domain | gororama[.]com | |
| Domain | myappearinc[.]com | |
| Domain | myappearinc[.]com/acquire/draft/c7lh0s5jv | |
| Domain | parkerpublic[.]com | |
| Domain | pastebin.mozilla[.]org/Z54Vudf9/raw | |
| Domain | softeruplive[.]com | |
| Domain | sombrat[.]com | |
| Domain | tumbleproperty[.]com | |
| FileHash-MD5 | 2902e12f00a185471b619233ee8631f3 | is__elf |
| FileHash-MD5 | 4f813698141cb7144786cdc6f629a92b | SLFPER:Ransom:Win32/Henasome.A!rsm |
| FileHash-MD5 | 748de52961d2f182d47e88d736f6c835 | case_4485_ekix4 |
| FileHash-MD5 | 9656cd12e3a85b869ad90a0528ca026e | is__elf |
| FileHash-SHA1 | 30cc7724be4a09d5bcd9254197af05e9fab76455 | case_4485_ekix4 |
| FileHash-SHA1 | 69feda9188dbebc2d2efec5926eb2af23ab78c5d | SLFPER:Ransom:Win32/Henasome.A!rsm |
| FileHash-SHA1 | 7e7f666a6839abe1b2cc76176516f54e46a2d453 | is__elf |
| FileHash-SHA1 | 861793c4e0d4a92844994b640cc6bc3e20944a73 | is__elf |
| FileHash-SHA256 | 13c25164791d3436cf2efbc410caec6b6dd6978d7e83c4766917630e24e1af10 | %USERPROFILE%\Downloads\run2.bat |
| FileHash-SHA256 | 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e | is__elf |
| FileHash-SHA256 | 2b93206d7a36cccdf7d7596b90ead301b2ff7e9a96359f39b6ba31bb13d11f45 | %USERPROFILE%\Downloads\run3.bat |
| FileHash-SHA256 | 342b398647073159dfa8a7d36510171f731b760089a546e96fbb8a292791efee | runanddelete.bat |
| FileHash-SHA256 | 34a98f2b54ebab999f218b0990665485eb2bb74babdf7e714cc10a306616b00c | %USERPROFILE%\Downloads\sr.bat |
| FileHash-SHA256 | 3e6e2e0de75896033d91dfd07550c478590ca4cd4598004d9e19246e8a09cb97 | InstallerV8.1.ms |
| FileHash-SHA256 | 4d7f6c6a051ecb1f8410243cd6941b339570165ebcfd3cc7db48d2a924874e99 | SLFPER:Ransom:Win32/Henasome.A!rsm |
| FileHash-SHA256 | 5654f32a4f0f2e900a35761e8caf7ef0c50ee7800e0a3b19354b571bc6876f61 | f827.exe |
| FileHash-SHA256 | 5b08c02c141eab94a40b56240a26cab7ff07e9a6e760dfde8b8b053a3526f0e6 | %PROGRAMDATA%\wine.exe |
| FileHash-SHA256 | 6ac8e7384767d1cb6792e62e09efc31a07398ca2043652ab11c090e6a585b310 | |
| FileHash-SHA256 | 84e1efbed6bb7720caea6720a8bff7cd93b5d42fb1d71ef8031bfd3897ed4435 | %USERPROFILE%\Downloads\run4.bat |
| FileHash-SHA256 | 85087f28a84205e344d7e8e06979e6622fab0cfe1759fd24e38cd0390bca5fa6 | windows_encryptor.exe |
| FileHash-SHA256 | 90ae0c693f6ffd6dc5bb2d5a5ef078629c3d77f874b2d2ebd9e109d8ca049f2c | case_4485_ekix4 |
| FileHash-SHA256 | 91605641a4c7e859b7071a9841d1cd154b9027e6a58c20ec4cadafeaf47c9055 | f24dc8ea.msi |
| FileHash-SHA256 | b57e5f0c857e807a03770feb4d3aa254d2c4c8c8d9e08687796be30e2093286c | |
| FileHash-SHA256 | b987f738a1e185f71e358b02cafa5fe56a4e3457df3b587d6b40e9c9de1da410 | Royal Ransomware Hash |
| FileHash-SHA256 | bc609cf53dde126b766d35b5bcf0a530c24d91fe23633dad6c2c59fd1843f781 | %USERPROFILE%\Downloads\run1.bat |
| FileHash-SHA256 | e0dbe3a2d07ee10731b68a142c65db077cfb88e5ec5c8415e548d3ede40e7ffc | %USERPROFILE%\Downloads\sc.bat |
| FileHash-SHA256 | f0197bd7ccd568c523df9c7d9afcbac222f14d344312322c04c92e7968859726 | ll.exe |
| FileHash-SHA256 | fb638dba20e5fec72f5501d7e0627b302834ec5eaf331dd999763ee925cbc0f9 | defw10.bat |
| IP | 102.157.44[.]105 | |
| IP | 105.158.118[.]241 | |
| IP | 105.69.155[.]85 | |
| IP | 113.169.187[.]159 | |
| IP | 134.35.9[.]209 | |
| IP | 139.195.43[.]166 | |
| IP | 139.60.161[.]213 | |
| IP | 140.82.48[.]158 | |
| IP | 147.135.11[.]223 | |
| IP | 147.135.36[.]162 | |
| IP | 148.213.109[.]165 | |
| IP | 152.89.247[.]50 | |
| IP | 163.182.177[.]80 | |
| IP | 172.64.80[.]1 | |
| IP | 179.43.167[.]10 | |
| IP | 181.141.3[.]126 | |
| IP | 181.164.194[.]228 | |
| IP | 185.143.223[.]69 | |
| IP | 185.7.214[.]218 | |
| IP | 186.64.67[.]6 | |
| IP | 186.86.212[.]138 | |
| IP | 190.193.180[.]228 | |
| IP | 193.149.176[.]157 | |
| IP | 193.235.146[.]104 | |
| IP | 196.70.77[.]11 | |
| IP | 197.11.134[.]255 | |
| IP | 197.158.89[.]85 | |
| IP | 197.204.247[.]7 | |
| IP | 197.207.181[.]147 | |
| IP | 197.207.218[.]27 | |
| IP | 197.94.67[.]207 | |
| IP | 209.141.36[.]116 | |
| IP | 23.111.114[.]52 | |
| IP | 41.100.55[.]97 | |
| IP | 41.107.77[.]67 | |
| IP | 41.109.11[.]80 | |
| IP | 41.251.121[.]35 | |
| IP | 41.97.65[.]51 | |
| IP | 42.189.12[.]36 | |
| IP | 45.227.251[.]167 | |
| IP | 45.61.136[.]47 | |
| IP | 45.8.158[.]104 | |
| IP | 47.87.229[.]39 | |
| IP | 5.181.234[.]58 | |
| IP | 5.188.86[.]195 | |
| IP | 5.44.42[.]20 | |
| IP | 61.166.221[.]46 | |
| IP | 68.83.169[.]91 | |
| IP | 77.73.133[.]84 | |
| IP | 81.184.181[.]215 | |
| IP | 82.12.196[.]197 | |
| IP | 89.108.65[.]136 | |
| IP | 94.232.41[.]105 | |
| IP | 98.143.70[.]147 |
Referencias
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a
- https://www.tripwire.com/state-of-security/blacksuit-ransomware-what-you-need-know
- https://www.ransom-db.com/ransomware-groups
