De ransomware-variant die bekendstaat als BlackSuit heeft tot nu toe maar liefst 500 miljoen dollar aan losgeld geëist, waarbij één enkel losgeldeis opliep tot 60 miljoen dollar.
Dat blijkt uit een bijgewerkt advies van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Federal Bureau of Investigation (FBI).
“BlackSuit-actoren hebben laten zien bereid te zijn om te onderhandelen over betalingsbedragen”, aldus de instanties. “Losgeldbedragen maken geen deel uit van de oorspronkelijke losgeldnota, maar vereisen directe interactie met de dreigingsactor via een .onion-URL (bereikbaar via de Tor-browser) die na encryptie wordt verstrekt.”
Aanvallen met ransomware waren gericht op diverse sectoren met kritieke infrastructuur, zoals commerciële instellingen, gezondheidszorg en volksgezondheid, overheidsinstellingen en kritieke productie.
Deze ransomware is een verdere ontwikkeling van de Royal ransomware en maakt gebruik van de toegang die via phishing-e-mails wordt verkregen om antivirussoftware uit te schakelen en gevoelige gegevens te stelen. Uiteindelijk wordt de ransomware geïmplementeerd en worden de systemen versleuteld.
Andere veelvoorkomende infectiepaden zijn het gebruik van Remote Desktop Protocol (RDP), misbruik van kwetsbare internettoepassingen en toegang gekocht via Initial Access Broker (IAB’s).
Het is bekend dat BlackSuit-actoren legitieme software en hulpmiddelen voor remote monitoring en management (RMM) gebruiken, zoals SystemBC en GootLoader-malware, om persistentie in de netwerken van hun slachtoffers te behouden.
“BlackSuit-acteurs zijn waargenomen met behulp van SharpShares en SoftPerfect NetWorx om slachtoffernetwerken te tellen”, merkten de instanties op. “De openbaar beschikbare tool voor het stelen van inloggegevens Mimikatz en wachtwoordverzamelingstools van Nirsoft zijn ook aangetroffen op slachtoffersystemen. Tools zoals PowerTool en GMER worden vaak gebruikt om systeemprocessen te doden.”
CISA en FBI waarschuwen voor een toename van het aantal gevallen waarbij slachtoffers telefonisch of per e-mail berichten ontvangen van BlackSuit-activisten over de inbreuk en het losgeld. Deze tactiek wordt steeds vaker door ransomware-bendes gebruikt om de druk op te voeren.
“De laatste jaren lijken dreigingsactoren steeds meer geïnteresseerd te zijn in het niet alleen direct bedreigen van organisaties, maar ook in secundaire slachtoffers”, aldus cybersecuritybedrijf Sophos in een deze week gepubliceerd rapport. “Zo dreigden aanvallers in januari 2024 patiënten van een kankerziekenhuis te ‘swat’ en stuurden ze bedreigende sms-berichten naar de echtgenote van een CEO.”
Dat is nog niet alles. Dreigingsactoren hebben ook beweerd dat ze gestolen data beoordelen op bewijs van illegale activiteiten, niet-naleving van regelgeving en financiële discrepanties. Ze gingen zelfs zo ver dat ze beweerden dat een werknemer bij een gecompromitteerde organisatie op zoek was naar materiaal met seksueel misbruik van kinderen door hun webbrowsergeschiedenis te posten.
Zulke agressieve methoden kunnen niet alleen worden gebruikt als extra drukmiddel om de slachtoffers tot betalen te dwingen, ze kunnen ook reputatieschade veroorzaken door hen te bekritiseren als onethisch of nalatig.
De ontwikkeling vindt plaats terwijl nieuwe ransomware-families zoals Lynx, OceanSpy, Radar, Zilla (een Crysis/Dharma-ransomwarevariant) en Zola (een Proton-ransomwarevariant) opduiken, terwijl bestaande ransomware-groepen hun modus operandi voortdurend aanpassen door nieuwe tools aan hun arsenaal toe te voegen.
Een voorbeeld is Hunters International, dat is waargenomen met behulp van een nieuwe C#-gebaseerde malware genaamd SharpRhino als een initiële infectievector en een remote access trojan (RAT). Het is een variant van de ThunderShell-malwarefamilie en wordt geleverd via een typosquatting-domein dat de populaire netwerkbeheertool Angry IP Scanner imiteert.
Het is de moeite waard om te vermelden dat malvertisingcampagnes nog in januari 2024 zijn gespot die de malware leverden, volgens eSentire. De open-source RAT wordt ook wel Parcel RAT en SMOKEDHAM genoemd.
“Bij uitvoering zorgt het voor persistentie en biedt het de aanvaller externe toegang tot het apparaat, wat vervolgens wordt gebruikt om de aanval uit te voeren,” aldus Quorum Cyber-onderzoeker Michael Forret. “Door gebruik te maken van voorheen ongeziene technieken, kan de malware een hoog niveau van toestemming op het apparaat verkrijgen om ervoor te zorgen dat de aanvaller zijn targeting met minimale verstoring kan voortzetten.”
Hunters International wordt gezien als een rebranding van de inmiddels ter ziele gegane Hive-ransomwaregroep. Voor het eerst ontdekt in oktober 2023, heeft het de verantwoordelijkheid opgeëist voor 134 aanvallen in de eerste zeven maanden van 2024.