Uma análise da variante Linux de uma nova cepa de ransomware chamada BlackSuit revelou semelhanças significativas com outra família de ransomware chamada Royal.
A Trend Micro, que examinou uma versão x64 VMware ESXi direcionada a máquinas Linux, disse ter identificado um "grau extremamente alto de semelhança" entre Royal e BlackSuit.
"Na verdade, eles são quase idênticos, com 98% de similaridades em funções, 99,5% de similaridades em blocos e 98,9% de similaridades em saltos baseados no BinDiff, uma ferramenta de comparação para arquivos binários", observaram os pesquisadores da Trend Micro.
Uma comparação dos artefatos do Windows identificou 93,2% de similaridade em funções, 99,3% em blocos básicos e 98,4% em saltos baseados no BinDiff.
BlackSuit veio à tona no início de maio de 2023, quando a Palo Alto Networks Unit 42 chamou a atenção para sua capacidade de atacar hosts tanto do Windows quanto do Linux.
Em linha com outros grupos de ransomware, ele executa um esquema de dupla extorsão que rouba e criptografa dados sensíveis em uma rede comprometida em troca de compensação financeira.
Dados associados a uma única vítima foram listados em seu site de vazamento da dark web.
As últimas descobertas da Trend Micro mostram que tanto BlackSuit quanto Royal usam o OpenSSL's AES para criptografia e utilizam técnicas de criptografia intermitentes semelhantes para acelerar o processo de criptografia.
Além das sobreposições, BlackSuit incorpora argumentos adicionais de linha de comando e evita uma lista diferente de arquivos com extensões específicas durante a enumeração e criptografia.
"A emergência do ransomware BlackSuit (com suas semelhanças com o Royal) indica que é ou uma nova variante desenvolvida pelos mesmos autores, um imitador usando código semelhante ou um afiliado da gangue de ransomware Royal que implementou modificações na família original", disse a Trend Micro.
Dado que Royal é um desdobramento da antiga equipe Conti, também é possível que "BlackSuit tenha surgido de um grupo dissidente dentro da gangue de ransomware Royal original", teorizou a empresa de segurança cibernética.
O desenvolvimento mais uma vez destaca o constante estado de fluxo no ecossistema de ransomware, mesmo quando novos atores de ameaças surgem para ajustar ferramentas existentes e gerar lucros ilícitos.
Isso inclui uma nova iniciativa de ransomware-as-a-service (RaaS) chamada NoEscape que a Cyble disse permitir que seus operadores e afiliados aproveitem métodos de tripla extorsão para maximizar o impacto de um ataque bem-sucedido.
A tripla extorsão refere-se a uma abordagem de três pontas em que a exfiltração e criptografia de dados são combinadas com ataques distribuídos de negação de serviço (DDoS) contra os alvos na tentativa de perturbar seus negócios e coagi-los a pagar o resgate.
O serviço DDoS, segundo a Cyble, está disponível por uma taxa adicional de US$ 500.000, com os operadores impondo condições que proíbem os afiliados de atacar entidades localizadas nos países da Comunidade dos Estados Independentes (CEI).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...