Nouvelle couverture de la plateforme Vectra AI pour Copilot et Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

Combinaison noire

Blacksuit est un groupe privé de ransomware/extorsion qui a fait surface au début du mois d'avril/mai 2023. Il présente de nombreuses similitudes avec Royal Ransomware, ce qui laisse penser qu'il pourrait s'agir d'un spinoff ou d'un effort de rebranding.

Détecter les TTP des combinaisons noires
Votre organisation est-elle à l'abri des attaques de Blacksuit Ransomware ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder le briefing sur les menaces

L'origine du costume noir

Blacksuit est un groupe privé de ransomware/extorsion apparu au début du mois d'avril/mai 2023. Le groupe partage plusieurs similitudes avec Royal Ransomware, ce qui amène les experts à penser que Blacksuit pourrait être une émanation ou un changement de marque du groupe précédent.

Royal Ransomware, lui-même issu de Conti, s'est fait connaître par ses attaques très ciblées sur des secteurs d'infrastructures critiques et par ses méthodes sophistiquées pour obtenir un accès initial, élever les privilèges et échapper à la détection.

S'appuyant sur cette base, Blacksuit semble poursuivre l'héritage avec des techniques raffinées et une approche ciblée de l'extorsion, en ciblant des industries similaires de grande valeur et en tirant parti de tactiques avancées pour pénétrer dans les réseaux de leurs victimes et les crypter.

Cartographie : OCD

L'origine du costume noir
Cibles

Les cibles de Blacksuit

Pays ciblés par Blacksuit

BlackSuit opère à l'échelle mondiale, avec une activité significative signalée dans :

  • Amérique du Nord: En particulier les États-Unis et le Canada.
  • Europe: y compris des incidents notables en Italie et au Royaume-Uni.
  • Asie: La Corée du Sud a signalé de multiples attaques.
  • Amérique du Sud: Le Brésil est une cible importante dans cette région.

Source : SOCradar

Secteurs d'activité ciblés par Blacksuit

Selon SOCradar, Blacksuit cible principalement les industries suivantes :

  • Services éducatifs (22,7 %): Il s'agit du secteur le plus ciblé, ce qui reflète la vulnérabilité des établissements d'enseignement aux attaques de ransomware.
  • Administration publique (13,6 %): Les organes gouvernementaux sont fréquemment attaqués, ce qui perturbe considérablement les services publics.
  • Construction, Services professionnels, scientifiques et techniques, Commerce de gros, Industrie manufacturière (9,1 % chacun): Ces secteurs sont également très ciblés en raison de leur caractère critique et de l'impact potentiel élevé des perturbations.
  • Autres industries: Y compris le commerce de détail, les transports et l'entreposage, les services d'information, les arts, les spectacles et les loisirs, les soins de santé et les autres services (4,5% chacun).

Secteurs d'activité ciblés par Blacksuit

Selon SOCradar, Blacksuit cible principalement les industries suivantes :

  • Services éducatifs (22,7 %): Il s'agit du secteur le plus ciblé, ce qui reflète la vulnérabilité des établissements d'enseignement aux attaques de ransomware.
  • Administration publique (13,6 %): Les organes gouvernementaux sont fréquemment attaqués, ce qui perturbe considérablement les services publics.
  • Construction, Services professionnels, scientifiques et techniques, Commerce de gros, Industrie manufacturière (9,1 % chacun): Ces secteurs sont également très ciblés en raison de leur caractère critique et de l'impact potentiel élevé des perturbations.
  • Autres industries: Y compris le commerce de détail, les transports et l'entreposage, les services d'information, les arts, les spectacles et les loisirs, les soins de santé et les autres services (4,5% chacun).

Les victimes de Blacksuit

Blacksuit a ciblé plus de 96 victimes. Parmi les victimes les plus connues de Blacksuit figurent de grands établissements d'enseignement, des agences gouvernementales, des entreprises de construction, des sociétés de services professionnels et des prestataires de soins de santé. Ces attaques entraînent souvent d'importantes perturbations opérationnelles et des violations de données.

Image : ransomware.live

Méthode d'attaque

Méthode d'attaque de Blacksuit

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Le Blacksuit obtient souvent un accès initial par le biais de courriels phishing , en exploitant les vulnérabilités des applications publiques et en utilisant des pièces jointes ou des liens malveillants.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Une fois dans le réseau, les attaquants exploitent les vulnérabilités pour élever leurs privilèges, en utilisant souvent des outils tels que Mimikatz pour obtenir un accès de plus haut niveau.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

Le groupe utilise diverses techniques pour éviter d'être détecté, notamment la désactivation des outils de sécurité, l'utilisation de code obscurci et l'exploitation de processus de systèmes fiables.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Blacksuit utilise des enregistreurs de frappe, des outils de vidage de données d'identification et des attaques par force brute pour recueillir les noms d'utilisateur et les mots de passe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Ils effectuent une reconnaissance approfondie du réseau afin d'en comprendre la structure et d'identifier les systèmes critiques et les données sensibles.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

En utilisant des outils administratifs légitimes et des informations d'identification compromises, les attaquants se déplacent latéralement sur le réseau pour infecter d'autres systèmes.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Blacksuit collecte et exfiltre des données sensibles afin de pousser les victimes à payer la rançon. Il s'agit souvent de données financières, d'informations personnelles et d'informations commerciales confidentielles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware est déployé et exécuté pour crypter les fichiers sur les systèmes compromis.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les données sont exfiltrées vers des serveurs externes contrôlés par les attaquants, souvent en utilisant des canaux cryptés pour éviter d'être détectés.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

La dernière étape consiste à crypter les données et les systèmes de la victime, les rendant inutilisables. Une note de rançon est alors présentée, exigeant un paiement en crypto-monnaie pour décrypter les fichiers.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Le Blacksuit obtient souvent un accès initial par le biais de courriels phishing , en exploitant les vulnérabilités des applications publiques et en utilisant des pièces jointes ou des liens malveillants.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Une fois dans le réseau, les attaquants exploitent les vulnérabilités pour élever leurs privilèges, en utilisant souvent des outils tels que Mimikatz pour obtenir un accès de plus haut niveau.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

Le groupe utilise diverses techniques pour éviter d'être détecté, notamment la désactivation des outils de sécurité, l'utilisation de code obscurci et l'exploitation de processus de systèmes fiables.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Blacksuit utilise des enregistreurs de frappe, des outils de vidage de données d'identification et des attaques par force brute pour recueillir les noms d'utilisateur et les mots de passe.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Ils effectuent une reconnaissance approfondie du réseau afin d'en comprendre la structure et d'identifier les systèmes critiques et les données sensibles.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

En utilisant des outils administratifs légitimes et des informations d'identification compromises, les attaquants se déplacent latéralement sur le réseau pour infecter d'autres systèmes.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Blacksuit collecte et exfiltre des données sensibles afin de pousser les victimes à payer la rançon. Il s'agit souvent de données financières, d'informations personnelles et d'informations commerciales confidentielles.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le ransomware est déployé et exécuté pour crypter les fichiers sur les systèmes compromis.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les données sont exfiltrées vers des serveurs externes contrôlés par les attaquants, souvent en utilisant des canaux cryptés pour éviter d'être détectés.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

La dernière étape consiste à crypter les données et les systèmes de la victime, les rendant inutilisables. Une note de rançon est alors présentée, exigeant un paiement en crypto-monnaie pour décrypter les fichiers.

MITRE ATT&CK Mapping

TTP utilisées par les combinaisons noires

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter les combinaisons noires avec Vectra AI

External Remote Access

Ransomware File Activity

Suspicious Remote Desktop Protocol

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que le ransomware Blacksuit ?

Blacksuit est un groupe de ransomware connu pour cibler les secteurs d'infrastructures critiques et pour utiliser des tactiques avancées afin de pénétrer dans les réseaux des victimes et de les chiffrer.

Comment Blacksuit obtient-elle généralement l'accès initial à un réseau ?

Ils utilisent souvent des courriels phishing , exploitent les vulnérabilités des applications publiques et envoient des pièces jointes ou des liens malveillants.

Quelles sont les industries les plus fréquemment ciblées par Blacksuit ?

Les services éducatifs, l'administration publique, la construction, les services professionnels et techniques, le commerce de gros et l'industrie manufacturière sont les principales cibles.

Quelles sont les techniques utilisées par Blacksuit pour l'escalade des privilèges ?

Ils exploitent les vulnérabilités des logiciels et utilisent des outils tels que Mimikatz pour obtenir un accès de plus haut niveau.

Comment la combinaison noire échappe-t-elle à la détection ?

Ils utilisent des techniques telles que la désactivation des outils de sécurité, l'obscurcissement du code et l'exploitation des processus du système de confiance.

Quelles sont les méthodes utilisées par Blacksuit pour accéder aux informations d'identification ?

Ils utilisent des enregistreurs de frappe, des outils d'extraction de données d'identification et des attaques par force brute.

Comment le Blacksuit effectue-t-il des mouvements latéraux au sein d'un réseau ?

En utilisant des outils administratifs légitimes et des informations d'identification compromises pour accéder à d'autres systèmes.

Quels types de données Blacksuit exfiltre-t-elle ?

Les données financières, les informations personnelles et les informations commerciales exclusives sont souvent exfiltrées.

Comment Blacksuit exécute-t-il la charge utile du ransomware ?

Le ransomware est déployé et exécuté pour crypter les fichiers sur les systèmes compromis.

Quels sont les moyens de défense efficaces contre les combinaisons noires ?

Il est essentiel de mettre en place des défenses solides sur le site phishing , de corriger régulièrement les vulnérabilités, d'assurer une gestion solide des informations d'identification et de mettre en place des solutions de détection et de réponse étendues (XDR).

Votre organisation est-elle à l'abri des attaques de Blacksuit Ransomware ?

Évaluez votre exposition aux attaques