Η συμμορία Royal ransomware έχει αρχίσει να δοκιμάζει έναν νέο κρυπτογράφο με την ονομασία BlackSuit, ο οποίος έχει πολλές ομοιότητες με τον συνηθισμένο κρυπτογράφο της επιχείρησης.
Το Royal, που πιστεύεται ότι είναι ο άμεσος διάδοχος της διαβόητης επιχείρησης Conti, η οποία έκλεισε τον Ιούνιο του 2022, ξεκίνησε τον Ιανουάριο του 2023.
Αυτή η ομάδα είναι μια ιδιωτική επιχείρηση ransomware που αποτελείται από pentesters, μέλη της ‘Conti Team 1’ και μέλη που έχουν στρατολογήσει από άλλες συμμορίες ransomware που στοχεύουν επιχειρήσεις.
Από την κυκλοφορία του, το Royal Ransomware έχει γίνει μία από τις πιο ενεργές επιχειρήσεις που ευθύνονται για πολυάριθμες επιθέσεις σε επιχειρήσεις.
Δείτε επίσης: Ανησυχητική αύξηση της δραστηριότητας του TrueBot malware
Η Royal έχει αρχίσει να δοκιμάζει το BlackSuit
Από τα τέλη Απριλίου, υπήρχαν φήμες ότι η επιχείρηση Royal ransomware ετοιμαζόταν να μετονομαστεί. Αυτό κλιμακώθηκε περαιτέρω αφότου ένιωσαν πίεση από τις αρχές επιβολής του νόμου μετά την επίθεσή τους στην πόλη του Ντάλας στο Τέξας.
Τον Μάιο, ανακαλύφθηκε μια νέα επιχείρηση ransomware BlackSuit, η οποία χρησιμοποιούσε τον δικό της επώνυμο κρυπτογράφο και ιστότοπους διαπραγμάτευσης Tor. Θεωρήθηκε ότι αυτή ήταν η επιχείρηση ransomware στην οποία θα μεταμορφωνόταν η ομάδα Royal ransomware.
Ωστόσο, το rebrand δεν συνέβη ποτέ και η Royal εξακολουθεί να επιτίθεται ενεργά στην επιχείρηση, ενώ χρησιμοποιεί το BlackSuit σε περιορισμένες επιθέσεις.
Δείτε επίσης: Το email εξακολουθεί να είναι το πιο ευάλωτο εργαλείο στην επιχείρησή σας
Ο Bohuslavskiy δήλωσε επίσης στο BleepingComputer ότι είναι πιθανό η Royal να δοκιμάζει απλώς έναν νέο κρυπτογράφο, όπως έχει κάνει και με άλλα εργαλεία που χρησιμοποιεί η ομάδα, συμπεριλαμβανομένου ενός νέου loader, του IcedID, και μιας αναζωογόνησης του Emotet.
Καθώς η BlackSuit είναι μια αυτόνομη επιχείρηση, είναι πιθανό η Royal να σχεδιάζει να ξεκινήσει μια υποομάδα που θα επικεντρώνεται σε ορισμένους τύπους θυμάτων, ή να την κρατάει για μια μεταγενέστερη αλλαγή της επωνυμίας της.
Ωστόσο, μια νέα επωνυμία δεν θα είχε πλέον νόημα, καθώς μια πρόσφατη έκθεση της Trend Micro έδειξε σαφείς ομοιότητες μεταξύ των encryptor BlackSuit και Royal Ransomware, γεγονός που καθιστά δύσκολο να πείσει οποιονδήποτε ότι πρόκειται για μια νέα επιχείρηση ransomware.
Αυτές οι ομοιότητες περιλαμβάνουν ορίσματα γραμμής εντολών, ομοιότητες κώδικα, αποκλεισμούς αρχείων και παρόμοιες τεχνικές διαλείπουσας κρυπτογράφησης.
Δεν είναι σαφές πώς θα χρησιμοποιηθεί το BlackSuit, ωστόσο το ransomware χρησιμοποιείται ενεργά σε μερικές επιθέσεις.
Το BleepingComputer γνωρίζει για τουλάχιστον τρεις επιθέσεις στις οποίες χρησιμοποιήθηκε ο κρυπτογράφος BlackSuit, με λύτρα μέχρι στιγμής κάτω από 1 εκατομμύριο δολάρια.
Επί του παρόντος, η επιχείρηση έχει ένα θύμα που αναφέρεται στον ιστότοπό της για τη διαρροή δεδομένων, αλλά αυτό θα μπορούσε να αλλάξει γρήγορα αν ο νέος κρυπτογράφος χρησιμοποιούνταν σε μεγαλύτερο βαθμό.
Δείτε επίσης: Honda: Σφάλματα στο API εκθέτουν δεδομένα πελατών
Προς το παρόν, θα πρέπει να περιμένουμε να δούμε αν η BlackSuit είναι στην πραγματικότητα ένα αποτυχημένο πείραμα ή η αρχή μιας νέας υποομάδας, όπως η Conti με την Diavol.
Ό,τι κι αν αποδειχθεί, οι υπερασπιστές δικτύων θα πρέπει να γνωρίζουν ότι αυτή η νέα επιχείρηση υποστηρίζεται από τη Royal, η οποία έχει αποδείξει ότι διαθέτει εμπειρία στην παραβίαση δικτύων ή στην ανάπτυξη των κρυπτογράφων της.
Πηγή πληροφοριών: bleepingcomputer.com
