皇家勒索软件团伙已开始测试一种名为 BlackSuit 的新型加密器,该加密器与该行动常用的加密器有许多相似之处。
Royal 于 2023 年 1 月推出,据信是臭名昭著的 Conti 业务的直接继承者,后者 于 2022 年 6 月关闭。
该组织是一个私人勒索软件组织,由渗透测试人员、“Conti Team 1”的分支机构以及他们从其他以企业为目标的勒索软件团伙招募的分支机构组成。
自推出以来, Royal Ransomware 已成为最活跃的活动之一,对企业发起了无数次攻击。
Royal 开始测试 BlackSuit
自 4 月下旬以来,有传言称 皇家勒索软件公司 正准备以新名称进行品牌重塑。 在他们袭击德克萨斯州达拉斯市后,他们开始感受到来自执法部门的压力,这进一步升级。
5 月份发现了一种新的 BlackSuit 勒索软件操作,它使用了自己品牌的加密器和 Tor 协商站点。据信,这是皇家勒索软件集团将重新命名的勒索软件行动。
然而,品牌重塑从未发生,Royal 仍在积极攻击企业,同时在有限的攻击中使用 BlackSuit。
“Royal:Conti 的直接继承人,由来自 Conti 的“老卫士”或从各种精英勒索软件组织招募的 60 多名渗透测试人员组成。他们以 4-5 人的小团队运作,他们仍然忠于他们的领导:管理员和总工程师”,RedSense 合伙人兼研发主管 Yelisey Bohuslavskiy 在 LinkedIn 上发帖称。
“该组织使用 Royal 和 BlackSuit 储物柜,以 Emotet 和 IcedID 作为前体。他们优先考虑 CobaltStrike 的替代品,特别是 Sliver,并开发定制的前体加载器。”
Bohuslavskiy 进一步告诉my.28u.cc,Royal 可能只是在测试一个新的加密器,因为他们一直在测试该组织使用的其他工具,包括一个新的加载器、IcedID 和 Emotet 的复兴。
“他们不断改进 Emoted 以试图重振它,并在 IcedID 上做了很多工作。从这个意义上说,他们对新储物柜的实验是自然的。” 博胡斯拉夫斯基解释说。
“我相信我们可能很快就会看到更多类似 blacksuit 的东西。但到目前为止,新的装载机和新的 Blacksuit 储物柜似乎都是一个失败的实验。”
由于 BlackSuit 是一个独立的行动,Royal 可能计划推出一个专注于某些类型受害者的子组,或者它被保存以备日后重塑品牌。
来源:my.28u.cc
然而,品牌重塑不再有意义,因为 趋势科技最近的一份报告 显示 BlackSuit 和 Royal Ransomware 加密器之间存在明显的相似之处,因此很难让任何人相信它们是一种新的勒索软件操作。
这些相似性包括命令行参数、代码相似性、文件排除和类似的间歇性加密技术。
虽然尚不清楚 BlackSuit 将如何使用,但该勒索软件正积极用于少量攻击。
my.28u.cc了解到至少有 3 起使用 BlackSuit 加密器的攻击,到目前为止,赎金不到 100 万美元。
目前,该行动的数据泄露网站上列出了一名受害者,但如果新加密器被更频繁地使用,这种情况可能会很快改变。
在这个时候,我们将不得不拭目以待,看看 BlackSuit 实际上是一个失败的实验,还是像Conti 和 Diavol 一样的新子组的开始 。
无论结果如何,网络捍卫者都应该知道,这项新行动得到了 Royal 的支持,事实证明,Royal 在破坏网络或部署加密器方面拥有专业知识。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 皇家勒索软件团伙将BlackSuit加密器添加到他们的武器库中
