Copilot ve Microsoft Azure için yeni Vectra AI Platform kapsamı ile tanışın

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
cybercriminels
>
Fidye Yazılım Grubu

Siyah takım elbise

Blacksuit, 2023'ün Nisan/Mayıs ayı başlarında ortaya çıkan özel bir fidye yazılımı/gasp grubudur. Royal Ransomware ile çok sayıda benzerlik taşıyor, bu da bunun bir yan ürün veya yeniden markalaşma çabası olabileceğini düşündürüyor.

Blacksuit TTP'leri Algıla
Kuruluşunuz Blacksuit Ransomware Saldırılarına Karşı Güvende mi?
Arka plan
Hedefler
TTP'ler
Algılama
Sıkça Sorulan Sorular
Tehdit Brifingini izleyin

Blacksuit'in kökeni

Blacksuit, 2023 yılının Nisan/Mayıs ayı başlarında ortaya çıkan özel bir fidye yazılımı/gasp grubudur. Grup, Royal Ransomware ile çeşitli benzerlikler paylaşıyor ve uzmanların Blacksuit'in önceki grubun bir yan ürünü veya yeniden markalaşması olabileceğini düşünmesine yol açıyor.

Kendisi de Conti'nin yeniden başlatılması olan Royal Ransomware, kritik altyapı sektörlerine yönelik son derece hedefli saldırıları ve ilk erişim elde etme, ayrıcalıkları yükseltme ve tespit edilmekten kaçınma konusundaki gelişmiş yöntemleriyle ün kazandı.

Bu temel üzerine inşa edilen Blacksuit, benzer yüksek değerli endüstrileri hedef alarak ve kurbanlarının ağlarını ihlal etmek ve şifrelemek için gelişmiş taktiklerden yararlanarak, rafine teknikler ve şantaj odaklı bir yaklaşımla mirası sürdürüyor gibi görünüyor.

Haritacılık: OCD

Blacksuit'in kökeni
Hedefler

Blacksuit'in Hedefleri

Blacksuit'in hedeflediği ülkeler

BlackSuit, küresel ölçekte faaliyet göstermektedir ve şu alanlarda önemli faaliyetler bildirilmektedir:

  • Kuzey Amerika: Özellikle Amerika Birleşik Devletleri ve Kanada.
  • Avrupa: İtalya ve Birleşik Krallık'taki önemli olaylar dahil.
  • Asya: Güney Kore çok sayıda saldırı bildirdi.
  • Güney Amerika: Brezilya bu bölgede dikkate değer bir hedeftir.

Kaynak: SOCradar

Blacksuit'in hedeflediği sektörler

SOCradar'a göre, Blacksuit ağırlıklı olarak aşağıdaki endüstrileri hedefliyor:

  • Eğitim Hizmetleri (%22,7): Bu, eğitim kurumlarının fidye yazılımı saldırılarına karşı savunmasızlığını yansıtan en çok hedeflenen sektördür.
  • Kamu Yönetimi (%13,6): Devlet kurumları sık sık saldırıya uğramakta ve bu da kamu hizmetlerinde önemli aksamalara neden olmaktadır.
  • İnşaat, Profesyonel, Bilimsel ve Teknik Hizmetler, Toptan Ticaret, İmalat (her biri %9,1): Bu sektörler aynı zamanda kritik yapıları ve aksaklıkların potansiyel yüksek etkisi nedeniyle yoğun bir şekilde hedeflenmektedir.
  • Diğer sektörler: Perakende Ticaret, Ulaştırma ve Depolama, Bilgi Hizmetleri, Sanat, Eğlence ve Rekreasyon, Sağlık Hizmetleri ve Diğer Hizmetler (her biri %4,5).

Blacksuit'in hedeflediği sektörler

SOCradar'a göre, Blacksuit ağırlıklı olarak aşağıdaki endüstrileri hedefliyor:

  • Eğitim Hizmetleri (%22,7): Bu, eğitim kurumlarının fidye yazılımı saldırılarına karşı savunmasızlığını yansıtan en çok hedeflenen sektördür.
  • Kamu Yönetimi (%13,6): Devlet kurumları sık sık saldırıya uğramakta ve bu da kamu hizmetlerinde önemli aksamalara neden olmaktadır.
  • İnşaat, Profesyonel, Bilimsel ve Teknik Hizmetler, Toptan Ticaret, İmalat (her biri %9,1): Bu sektörler aynı zamanda kritik yapıları ve aksaklıkların potansiyel yüksek etkisi nedeniyle yoğun bir şekilde hedeflenmektedir.
  • Diğer sektörler: Perakende Ticaret, Ulaştırma ve Depolama, Bilgi Hizmetleri, Sanat, Eğlence ve Rekreasyon, Sağlık Hizmetleri ve Diğer Hizmetler (her biri %4,5).

Blacksuit'in kurbanları

Blacksuit 96'dan fazla kurbanı hedef aldı. Blacksuit'in yüksek profilli kurbanları arasında büyük eğitim kurumları, devlet kurumları, inşaat şirketleri, profesyonel hizmet firmaları ve sağlık hizmeti sağlayıcıları yer alıyor. Bu saldırılar genellikle önemli operasyonel aksaklıklara ve veri ihlallerine neden olur.

Resim: ransomware.live

Saldırı Yöntemi

Blacksuit'in Saldırı Yöntemi

İlk Erişim
Ayrıcalık Yükseltme
Savunma Kaçırma
Kimlik Bilgileri Erişimi
Keşif
Yanal Hareket
Koleksiyon
Yürütme
Sızma
Etki
Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.

Blacksuit genellikle phishing e-postaları aracılığıyla, kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü amaçlı ekler veya bağlantılar kullanarak ilk erişimi elde eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.

Saldırganlar ağa girdikten sonra, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır ve genellikle daha yüksek düzeyde erişim elde etmek için Mimikatz gibi araçları kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.

Grup, güvenlik araçlarını devre dışı bırakmak, gizlenmiş kod kullanmak ve güvenilir sistem işlemlerinden yararlanmak dahil olmak üzere tespit edilmekten kaçınmak için çeşitli teknikler kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.

Blacksuit, kullanıcı adlarını ve şifreleri toplamak için keylogger'lar, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.

Yapısını anlamak, kritik sistemleri ve hassas verileri belirlemek için ağ içinde kapsamlı keşifler yaparlar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.

Meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırganlar, daha fazla sisteme virüs bulaştırmak için ağ üzerinde yanal olarak hareket eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.

Blacksuit, kurbanları fidyeyi ödemeye zorlamak için hassas verileri toplar ve sızdırır. Bu genellikle finansal verileri, kişisel bilgileri ve özel iş bilgilerini içerir.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.

Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.

Veriler, saldırganlar tarafından kontrol edilen harici sunuculara aktarılır ve genellikle tespit edilmekten kaçınmak için şifreli kanallar kullanılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.

Son aşama, kurbanın verilerini ve sistemlerini şifreleyerek kullanılamaz hale getirmeyi içerir. Ardından, dosyaların şifresini çözmek için kripto para biriminde ödeme talep eden bir fidye notu sunulur.

Bilgisayarlar, akıllı telefonlar ve tabletler gibi çeşitli cihazlarla dolu dijital bir manzara üzerinde geniş bir ağ atan gölgeli bir figür. Ağ, saldırganın güvenlik açıklarını bulma veya yetkisiz erişim elde etmek için phishing tekniklerini kullanma girişimlerini sembolize eder.
İlk Erişim

Blacksuit genellikle phishing e-postaları aracılığıyla, kamuya açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü amaçlı ekler veya bağlantılar kullanarak ilk erişimi elde eder.

Temel bir kullanıcı simgesinden yukarıya, yönetici ayrıcalıklarını simgeleyen bir taca doğru uzanan dijital bir merdiven. Bu, saldırganın sistem içinde daha üst düzey erişim elde etme çabalarını temsil eder.
Ayrıcalık Yükseltme

Saldırganlar ağa girdikten sonra, ayrıcalıklarını yükseltmek için güvenlik açıklarından yararlanır ve genellikle daha yüksek düzeyde erişim elde etmek için Mimikatz gibi araçları kullanır.

Dijital bir arka plana karışan, etrafında sıfırlar ve birler akan bir bukalemun. Bu, saldırganın normal ağ trafiğine karışmak için taktik değiştirerek güvenlik önlemleri tarafından tespit edilmekten kaçınma yeteneğini temsil eder.
Savunma Kaçırma

Grup, güvenlik araçlarını devre dışı bırakmak, gizlenmiş kod kullanmak ve güvenilir sistem işlemlerinden yararlanmak dahil olmak üzere tespit edilmekten kaçınmak için çeşitli teknikler kullanır.

Giriş formu şeklindeki dev bir anahtar deliği üzerinde çalışan maymuncuk aletine sahip bir hırsız, saldırganın yetkisiz erişim elde etmek için kullanıcı kimlik bilgilerini çalma çabalarını temsil ediyor.
Kimlik Bilgileri Erişimi

Blacksuit, kullanıcı adlarını ve şifreleri toplamak için keylogger'lar, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanır.

Bir ağın dijital haritası üzerinde hareket eden ve dosyaları, klasörleri ve ağ bağlantılarını vurgulayan bir büyüteç. Bu görüntü, saldırganların yapıyı ve değerli verilerin nerede bulunduğunu anlamak için ortamı keşfettikleri aşamayı temsil eder.
Keşif

Yapısını anlamak, kritik sistemleri ve hassas verileri belirlemek için ağ içinde kapsamlı keşifler yaparlar.

Gölgeli bir figürün aralarında gizlice hareket ettiği bir dizi birbirine bağlı düğüm. Bu, ek sistemlerin kontrolünü ele geçirmek veya malware adresini yaymak isteyen saldırganın ağ içindeki hareketlerini göstermektedir.
Yanal Hareket

Meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırganlar, daha fazla sisteme virüs bulaştırmak için ağ üzerinde yanal olarak hareket eder.

Dosyaları, veri simgelerini ve klasörleri gölgeli bir figür tarafından tutulan bir torbaya emen büyük bir vakum. Bu görüntü, hedef ağdan değerli verilerin toplanması sürecini sembolize eder.
Koleksiyon

Blacksuit, kurbanları fidyeyi ödemeye zorlamak için hassas verileri toplar ve sızdırır. Bu genellikle finansal verileri, kişisel bilgileri ve özel iş bilgilerini içerir.

Dijital bir arka planın önünde açılan ve kötü amaçlı kod yazılan bir komut istemi penceresi. Bu, saldırganların ele geçirilen sistem içinde kötü amaçlı yüklerini çalıştırdıkları aşamayı temsil eder.
Yürütme

Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.

Bir bilgisayardan gizli bir kanal aracılığıyla kurukafa ile etiketlenmiş bir buluta aktarılan bir dizi dosya, verilerin saldırgan tarafından kontrol edilen bir konuma izinsiz olarak aktarılmasını sembolize eder.
Sızma

Veriler, saldırganlar tarafından kontrol edilen harici sunuculara aktarılır ve genellikle tespit edilmekten kaçınmak için şifreli kanallar kullanılır.

Arkasında kaos içinde dijital bir şehir manzarası olan kırık bir ekran, siber saldırının hizmet kesintisi, veri imhası veya mali kayıp gibi yıkıcı etkisini sembolize eder.
Etki

Son aşama, kurbanın verilerini ve sistemlerini şifreleyerek kullanılamaz hale getirmeyi içerir. Ardından, dosyaların şifresini çözmek için kripto para biriminde ödeme talep eden bir fidye notu sunulur.

MITRE ATT&CK Haritalama

Blacksuit tarafından kullanılan TTP'ler

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri

Blacksuit ile Nasıl Tespit Edilir Vectra AI

External Remote Access

Ransomware File Activity

Suspicious Remote Desktop Protocol

Daha fazla algılama görüntüleyin
Saldırıya maruz kalma durumunuzu değerlendirin

Sıkça Sorulan Sorular

Blacksuit fidye yazılımı nedir?

Blacksuit, kritik altyapı sektörlerini hedef alması ve kurban ağlarını ihlal etmek ve şifrelemek için gelişmiş taktikler kullanmasıyla tanınan bir fidye yazılımı grubudur.

Blacksuit tipik olarak bir ağa ilk erişimi nasıl elde eder?

Genellikle phishing e-postalarını kullanırlar, halka açık uygulamalardaki güvenlik açıklarından yararlanırlar ve kötü amaçlı ekler veya bağlantılar gönderirler.

Blacksuit tarafından en çok hangi sektörler hedefleniyor?

Eğitim hizmetleri, kamu yönetimi, inşaat, mesleki ve teknik hizmetler, toptan ticaret ve imalat birincil hedeflerdir.

Blacksuit ayrıcalık yükseltme için hangi teknikleri kullanıyor?

Yazılım güvenlik açıklarından yararlanırlar ve daha üst düzey erişim elde etmek için Mimikatz gibi araçları kullanırlar.

Blacksuit tespit edilmekten nasıl kaçar?

Güvenlik araçlarını devre dışı bırakma, kodu gizleme ve güvenilir sistem işlemlerinden yararlanma gibi teknikler kullanırlar.

Blacksuit tarafından kimlik bilgilerine erişim için hangi yöntemler kullanılır?

Keylogger'lar, kimlik bilgisi boşaltma araçları ve kaba kuvvet saldırıları kullanırlar.

Blacksuit bir ağ içinde yanal hareketi nasıl gerçekleştirir?

Ek sistemlere erişmek için meşru yönetim araçlarını ve güvenliği ihlal edilmiş kimlik bilgilerini kullanarak.

Blacksuit ne tür verileri sızdırır?

Finansal veriler, kişisel bilgiler ve özel iş bilgileri yaygın olarak sızdırılır.

Blacksuit fidye yazılımı yükünü nasıl yürütür?

Fidye yazılımı, güvenliği ihlal edilmiş sistemlerdeki dosyaları şifrelemek için dağıtılır ve yürütülür.

Blacksuit'e karşı bazı etkili savunmalar nelerdir?

Güçlü phishing savunmaları, düzenli güvenlik açığı yamaları, sağlam kimlik bilgisi yönetimi ve genişletilmiş algılama ve yanıt (XDR) çözümleri uygulamak çok önemlidir.

Kuruluşunuz Blacksuit Ransomware Saldırılarına Karşı Güvende mi?

Saldırıya maruz kalma durumunuzu değerlendirin