Uma análise da variante Linux de uma nova cepa de ransomware chamada BlackSuit revelou semelhanças significativas com outra família de ransomware chamada Royal.
A Trend Micro, que examinou uma versão x64 VMware ESXi direcionada a máquinas Linux, disse ter identificado um "grau extremamente alto de semelhança" entre Royal e BlackSuit.
"Na verdade, eles são quase idênticos, com 98% de similaridades em funções, 99,5% de similaridades em blocos e 98,9% de similaridades em saltos baseados no BinDiff, uma ferramenta de comparação para arquivos binários", observaram os pesquisadores da Trend Micro.
Uma comparação dos artefatos do Windows identificou 93,2% de similaridade em funções, 99,3% em blocos básicos e 98,4% em saltos baseados no BinDiff.
BlackSuit veio à tona no início de maio de 2023, quando a Palo Alto Networks Unit 42 chamou a atenção para sua capacidade de atacar hosts tanto do Windows quanto do Linux.
Em linha com outros grupos de ransomware, ele executa um esquema de dupla extorsão que rouba e criptografa dados sensíveis em uma rede comprometida em troca de compensação financeira.
Dados associados a uma única vítima foram listados em seu site de vazamento da dark web.
As últimas descobertas da Trend Micro mostram que tanto BlackSuit quanto Royal usam o OpenSSL's AES para criptografia e utilizam técnicas de criptografia intermitentes semelhantes para acelerar o processo de criptografia.
Além das sobreposições, BlackSuit incorpora argumentos adicionais de linha de comando e evita uma lista diferente de arquivos com extensões específicas durante a enumeração e criptografia.
"A emergência do ransomware BlackSuit (com suas semelhanças com o Royal) indica que é ou uma nova variante desenvolvida pelos mesmos autores, um imitador usando código semelhante ou um afiliado da gangue de ransomware Royal que implementou modificações na família original", disse a Trend Micro.
Dado que Royal é um desdobramento da antiga equipe Conti, também é possível que "BlackSuit tenha surgido de um grupo dissidente dentro da gangue de ransomware Royal original", teorizou a empresa de segurança cibernética.
O desenvolvimento mais uma vez destaca o constante estado de fluxo no ecossistema de ransomware, mesmo quando novos atores de ameaças surgem para ajustar ferramentas existentes e gerar lucros ilícitos.
Isso inclui uma nova iniciativa de ransomware-as-a-service (RaaS) chamada NoEscape que a Cyble disse permitir que seus operadores e afiliados aproveitem métodos de tripla extorsão para maximizar o impacto de um ataque bem-sucedido.
A tripla extorsão refere-se a uma abordagem de três pontas em que a exfiltração e criptografia de dados são combinadas com ataques distribuídos de negação de serviço (DDoS) contra os alvos na tentativa de perturbar seus negócios e coagi-los a pagar o resgate.
O serviço DDoS, segundo a Cyble, está disponível por uma taxa adicional de US$ 500.000, com os operadores impondo condições que proíbem os afiliados de atacar entidades localizadas nos países da Comunidade dos Estados Independentes (CEI).
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...