BlackSuit (Royal) ransomware
Az amerikai Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) a közös kiberbiztonsági összefoglalója része a #StopRansomware folyamatos erőfeszítéseinek, amelyek célja, hogy a kibervédelmi szakemberek számára olyan tanácsokat tegyenek közzé, amelyek részletesen bemutatják a különböző ransomware változatokat és a ransomware szereplőket. Ezek a #StopRansomware összefoglalók tartalmazzák a közelmúltban és a múltban megfigyelt taktikákat, technikákat és eljárásokat (TTP-k), valamint a kompromittálódást jelző indikátorokat (IOC-k). BlackSuit (Royal) ransomwarerről szóló összefoglalót eredetileg 2023. március 2-án tették közzé, amit most frissítettek másodjára. A csoportot átnevezték Royal-ról BlackSuit”-ra. Frissítették a TTP-ket, IOC-kat és a BlackSuit zsarolóprogrammal kapcsolatos észlelési módszereket. A BlackSuit egy egyedülálló részleges titkosítási megközelítést alkalmaz, amely lehetővé teszi a csoport számára, hogy a fájlban lévő adatok meghatározott százalékát válassza ki titkosításra. Ez a megközelítés lehetővé teszi a támadó számára, hogy a nagyobb fájlok esetében csökkentse a titkosítási százalékot, ami segít elkerülni a felismerést, és jelentősen növeli a zsarolóprogram sebességét. A fájlok titkosítása mellett a BlackSuit szereplői kettős zsarolási taktikát is alkalmaznak, amelyben azzal fenyegetőznek, hogy nyilvánosan kiadják a titkosított adatokat, ha az áldozat nem fizeti ki a váltságdíjat.
