Blacksuit
Blacksuit , 2023 yılının Nisan/Mayıs aylarının başında ortaya çıkan özel bir fidye yazılımı/şantaj grubudur. Royal Ransomware ile çok sayıda benzerlik taşıyor, bu da bir yan ürün veya yeniden markalaşma çabası olabileceğini gösteriyor.
Blacksuit'in kökeni
Blacksuit , 2023 yılının Nisan/Mayıs aylarının başında ortaya çıkan özel bir fidye yazılımı/şantaj grubudur. Grup, Royal Ransomware ile çeşitli benzerlikler paylaşıyor ve bu da uzmanların Blacksuit 'in önceki grubun bir yan ürünü veya yeniden markalaşması olabileceği yönünde spekülasyon yapmasına neden oluyor.
Kendisi de Conti'nin yeniden başlatılması olan Royal Ransomware, kritik altyapı sektörlerine yönelik son derece hedefli saldırıları ve ilk erişim elde etme, ayrıcalıkları yükseltme ve tespit edilmekten kaçınma konusundaki gelişmiş yöntemleriyle ün kazandı.
Bu temel üzerine inşa edilen Blacksuit , benzer yüksek değerli endüstrileri hedef alarak ve kurbanlarının ağlarını ihlal etmek ve şifrelemek için gelişmiş taktiklerden yararlanarak, rafine teknikler ve gaspa odaklanmış bir yaklaşımla mirası sürdürüyor gibi görünüyor.
Haritacılık: OCD
Blacksuit tarafından hedeflenen ülkeler
BlackSuit, küresel ölçekte faaliyet göstermektedir ve şu alanlarda önemli faaliyetler bildirilmektedir:
- Kuzey Amerika: Özellikle Amerika Birleşik Devletleri ve Kanada.
- Avrupa: İtalya ve Birleşik Krallık'taki önemli olaylar dahil.
- Asya: Güney Kore çok sayıda saldırı bildirdi.
- Güney Amerika: Brezilya bu bölgede dikkate değer bir hedeftir.
Kaynak: SOCradar
Blacksuit tarafından hedeflenen sektörler
SOCradar'a göre, Blacksuit ağırlıklı olarak aşağıdaki sektörleri hedeflemektedir:
- Eğitim Hizmetleri (%22,7): Bu, eğitim kurumlarının fidye yazılımı saldırılarına karşı savunmasızlığını yansıtan en çok hedeflenen sektördür.
- Kamu Yönetimi (%13,6): Devlet kurumları sık sık saldırıya uğramakta ve bu da kamu hizmetlerinde önemli aksamalara neden olmaktadır.
- İnşaat, Profesyonel, Bilimsel ve Teknik Hizmetler, Toptan Ticaret, İmalat (her biri %9,1): Bu sektörler aynı zamanda kritik yapıları ve aksaklıkların potansiyel yüksek etkisi nedeniyle yoğun bir şekilde hedeflenmektedir.
- Diğer sektörler: Perakende Ticaret, Ulaştırma ve Depolama, Bilgi Hizmetleri, Sanat, Eğlence ve Rekreasyon, Sağlık Hizmetleri ve Diğer Hizmetler (her biri %4,5).
Blacksuit'in kurbanları
Blacksuit 96'dan fazla kurbanı hedef almıştır. Blacksuit 'in yüksek profilli kurbanları arasında büyük eğitim kurumları, devlet kurumları, inşaat şirketleri, profesyonel hizmet firmaları ve sağlık hizmeti sağlayıcıları bulunmaktadır. Bu saldırılar genellikle önemli operasyonel aksaklıklara ve veri ihlallerine yol açmaktadır.
Resim: ransomware.live
Blacksuit'in Saldırı Yöntemi
Blacksuit genellikle phishing e-postaları yoluyla, kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü amaçlı ekler veya bağlantılar kullanarak ilk erişimi elde eder.
Saldırganlar ağa girdikten sonra, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır ve genellikle daha yüksek düzeyde erişim elde etmek için Mimikatz gibi araçları kullanır.
Grup, güvenlik araçlarını devre dışı bırakmak, gizlenmiş kod kullanmak ve güvenilir sistem işlemlerinden yararlanmak dahil olmak üzere tespit edilmekten kaçınmak için çeşitli teknikler kullanır.
Blacksuit , kullanıcı adlarını ve parolaları toplamak için tuş kaydediciler, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanır.
Yapısını anlamak, kritik sistemleri ve hassas verileri belirlemek için ağ içinde kapsamlı keşifler yaparlar.
Meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırganlar, daha fazla sisteme virüs bulaştırmak için ağ üzerinde yanal olarak hareket eder.
Blacksuit , kurbanları fidye ödemeye zorlamak için hassas verileri toplar ve dışarı sızdırır. Bu genellikle finansal verileri, kişisel bilgileri ve özel iş bilgilerini içerir.
Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.
Veriler, saldırganlar tarafından kontrol edilen harici sunuculara aktarılır ve genellikle tespit edilmekten kaçınmak için şifreli kanallar kullanılır.
Son aşama, kurbanın verilerini ve sistemlerini şifreleyerek kullanılamaz hale getirmeyi içerir. Ardından, dosyaların şifresini çözmek için kripto para biriminde ödeme talep eden bir fidye notu sunulur.
Blacksuit genellikle phishing e-postaları yoluyla, kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü amaçlı ekler veya bağlantılar kullanarak ilk erişimi elde eder.
Saldırganlar ağa girdikten sonra, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır ve genellikle daha yüksek düzeyde erişim elde etmek için Mimikatz gibi araçları kullanır.
Grup, güvenlik araçlarını devre dışı bırakmak, gizlenmiş kod kullanmak ve güvenilir sistem işlemlerinden yararlanmak dahil olmak üzere tespit edilmekten kaçınmak için çeşitli teknikler kullanır.
Blacksuit , kullanıcı adlarını ve parolaları toplamak için tuş kaydediciler, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanır.
Yapısını anlamak, kritik sistemleri ve hassas verileri belirlemek için ağ içinde kapsamlı keşifler yaparlar.
Meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırganlar, daha fazla sisteme virüs bulaştırmak için ağ üzerinde yanal olarak hareket eder.
Blacksuit , kurbanları fidye ödemeye zorlamak için hassas verileri toplar ve dışarı sızdırır. Bu genellikle finansal verileri, kişisel bilgileri ve özel iş bilgilerini içerir.
Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.
Veriler, saldırganlar tarafından kontrol edilen harici sunuculara aktarılır ve genellikle tespit edilmekten kaçınmak için şifreli kanallar kullanılır.
Son aşama, kurbanın verilerini ve sistemlerini şifreleyerek kullanılamaz hale getirmeyi içerir. Ardından, dosyaların şifresini çözmek için kripto para biriminde ödeme talep eden bir fidye notu sunulur.
Blacksuit tarafından kullanılan TTP'ler
Vectra AI ile Blacksuit Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Blacksuit fidye yazılımı nedir?
Blacksuit , kritik altyapı sektörlerini hedef almasıyla ve kurban ağlarını ihlal etmek ve şifrelemek için gelişmiş taktikler kullanmasıyla bilinen bir fidye yazılımı grubudur.
Blacksuit genellikle bir ağa ilk erişimi nasıl elde eder?
Genellikle phishing e-postalarını kullanırlar, halka açık uygulamalardaki güvenlik açıklarından yararlanırlar ve kötü amaçlı ekler veya bağlantılar gönderirler.
Blacksuit'in en sık hedef aldığı sektörler hangileridir?
Eğitim hizmetleri, kamu yönetimi, inşaat, mesleki ve teknik hizmetler, toptan ticaret ve imalat birincil hedeflerdir.
Blacksuit ayrıcalık yükseltme için hangi teknikleri kullanıyor?
Yazılım güvenlik açıklarından yararlanırlar ve daha üst düzey erişim elde etmek için Mimikatz gibi araçları kullanırlar.
Blacksuit tespit edilmekten nasıl kaçıyor?
Güvenlik araçlarını devre dışı bırakma, kodu gizleme ve güvenilir sistem işlemlerinden yararlanma gibi teknikler kullanırlar.
Kimlik bilgilerine erişim için Blacksuit tarafından hangi yöntemler kullanılıyor?
Keylogger'lar, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanırlar.
Blacksuit bir ağ içinde yanal hareketi nasıl gerçekleştirir?
Ek sistemlere erişmek için meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanarak.
Blacksuit ne tür verileri dışarı sızdırır?
Finansal veriler, kişisel bilgiler ve özel iş bilgileri yaygın olarak sızdırılır.
Blacksuit fidye yazılımı yükünü nasıl çalıştırıyor?
Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.
Blacksuit'e karşı bazı etkili savunmalar nelerdir?
Güçlü phishing savunmaları, düzenli güvenlik açığı yamaları, sağlam kimlik bilgisi yönetimi ve genişletilmiş algılama ve yanıt (XDR) çözümleri uygulamak çok önemlidir.