BlackSuit es un tipo de ransomware que emplea tácticas de extorsión múltiple para exfiltrar los datos de la víctima, extorsionar el rescate y exponer los datos robados en su sitio de filtración si no se paga el rescate. Aunque se dirige principalmente a los sectores de atención médica y de salud pública en Estados Unidos, también ha ido tras organizaciones de los sectores manufacturero, minorista y gubernamental en otros países. Las demandas de rescate de BlackSuit suelen oscilar entre aproximadamente 1 y 10 millones de dólares, normalmente exigidos en Bitcoin.
Origen y evolución
Se considera que el ransomware BlackSuit, que apareció por primera vez en abril de 2023, comparte similitudes de código con el grupo de ransomware Royal, identificado a principios de 2022. A su vez, se considera que el ransomware Royal son los restos rebautizados del grupo Conti Ransomware as a Service (RaaS), que fue clausurado en mayo de 2022. Mientras que sus predecesores operaban como grupos RaaS, BlackSuit funciona como un grupo privado de ransomware sin afiliados públicos.
Cómo funciona el ransomware BlackSuit
1. Acceso inicial
Los hackers de BlackSuit obtienen el acceso inicial a la red a través de correos electrónicos de phishing, ataques de fuerza bruta a cuentas RDP o la explotación de aplicaciones de cara al público. También obtiene credenciales de los logs de los ladrones y explota las cuentas VPN que carecen de autenticación multifactor (MFA).
2. Ejecución
Una vez que el ransomware BlackSuit entra en una red, establece comunicación con su servidor de mando y control (C2) para descargar la carga útil y las herramientas necesarias para establecer su infraestructura. Aprovecha herramientas como el cliente Secure Shell (SSH), PuTTY y OpenSSH para comunicarse con el servidor C2.
3. Movimiento lateral y escalamiento de privilegios
BlackSuit explota RDP y PsExec para moverse lateralmente por la red. Emplea herramientas como Mimikatz para obtener credenciales y crea nuevas cuentas de dominio y de administrador que pueden aprovecharse para escalar privilegios.
4. Persistencia
Los hackers de BlackSuit entran en el controlador de dominio de forma remota, eliminan el software antivirus y detienen los procesos del sistema. Para ello, utilizan herramientas como PowerTool y GMER. También aprovechan las herramientas legítimas de monitoreo remoto para mantenerse dentro de la red de la víctima.
5. Exfiltración y cifrado
Los actores de BlackSuit exfiltran datos de las redes de las víctimas utilizando herramientas legítimas de pruebas de penetración cibernética, como Cobalt Strike. El ransomware cifra los archivos mediante cifrado AES y elimina las instantáneas de volumen de los archivos en el dispositivo infectado para dificultar su recuperación y restauración.
Las demandas de rescate de BlackSuit y su sitio de filtración de datos
Los actores de BlackSuit han exigido más de 500 millones de dólares en total, siendo la mayor demanda de rescate individual de 60 millones de dólares. La demanda de rescate no suele estar incluida en la nota de rescate de BlackSuit. En su lugar, la demanda se negocia directamente con la víctima a través de su sitio de filtraciones de datos, que está alojado en la red TOR con una URL .onion. Cuando la víctima no cumple con las exigencias del rescate, el atacante publica los datos de la víctima junto con los datos robados en el sitio de la filtración.
Cómo protegerse contra el ransomware BlackSuit
- Educación de los empleados: Sensibilice a los empleados sobre el impacto del ransomware y proporcione capacitación para identificar correos electrónicos de phishing, procesos anómalos y ejecutables maliciosos.
- Pruebas de vulnerabilidad: Realice análisis de vulnerabilidad en todos los dispositivos de red, software y aplicaciones, y actualice sus configuraciones de seguridad con regularidad.
- Evaluación de riesgos: Los equipos de TI deben realizar evaluaciones periódicas de los riesgos y estimar las calificaciones de riesgo de todos los usuarios y entidades para detectar comportamientos sospechosos.
- Filtrado de correo electrónico: Los correos electrónicos de phishing son vectores comunes de ransomware que llevan URL maliciosas, archivos adjuntos y ejecutables. Las herramientas de filtrado de correo electrónico marcan los mensajes con contenido sospechoso y los bloquean de su bandeja de entrada.
- Proteger el RDP: Implemente actualizaciones de seguridad periódicas para las aplicaciones de desktop remoto y garantice que las VPN, las herramientas MFA y los firewalls estén siempre al día.
- Análisis del tráfico: Analice todo el tráfico entrante y saliente de la red y bloquee las transmisiones de paquetes de datos que contengan información sensible o archivos maliciosos.
- Detección de anomalías: Monitoree el comportamiento de usuarios y entidades para señalar actividades anómalas, como accesos e inicios de sesión no autorizados, escalamiento de privilegios y movimiento lateral dentro de la red.
- Monitoreo de archivos: Monitoree continuamente los archivos confidenciales, las carpetas y sus copias de seguridad para detectar ejecuciones anormales de archivos, intentos de acceso no autorizados, aumentos repentinos de la codificación de archivos y el cambio excesivo de nombres de archivos.
- Copia de seguridad y cifrado de datos: Realice copias de seguridad de archivos con datos confidenciales y garantice la seguridad de los archivos originales y de sus copias de seguridad mediante técnicas de cifrado de datos.
- Monitoreo de la seguridad: Implemente una solución de gestión de logs o una solución SIEM para obtener visibilidad en toda la red.
Soluciones relacionadas
ManageEngine Log360 es una solución SIEM integral con funciones avanzadas de detección y mitigación de ransomware. Log360 destaca como una de las mejores soluciones de protección contra ransomware, ya que ofrece las siguientes funciones:
- Visibilidad de la red de 360 grados: Log360 proporciona una visibilidad completa de la red a través de informes de auditoría out-of-the-box y dashboards interactivos en una única consola.
- Detección de ransomware: Las reglas de correlación predefinidas y los perfiles de alerta para la detección de ransomware ayudan a identificar posibles actividades de ransomware en tiempo real.
- Análisis del comportamiento de usuarios y entidades: Con sus funciones de monitoreo de comportamiento basadas en ML, Log360 detecta actividades anómalas en la red para identificar señales potenciales de un ataque de ransomware.
- Monitoreo de archivos: La función de monitoreo de la integridad de los archivos de Log360 ayuda a monitorear los accesos, creaciones, eliminaciones y modificaciones no autorizadas de archivos para proteger los datos confidenciales del ransomware.
- Seguridad de aplicaciones en la nube: Las funciones CASB de Log360 ayudan a bloquear los sitios web sospechosos y a prohibir las aplicaciones maliciosas para proteger los datos confidenciales de la nube frente a las amenazas de ransomware.
- Respuesta ante incidentes de ransomware: Sus perfiles de alerta de detección de ransomware incluyen flujos de trabajo integrados de respuesta a incidentes que, cuando se activan, evitan la propagación de los ataques de ransomware.
Para obtener más información, inscríbase en una demostración personalizada de Log360. O bien, puede descubrirlo por sí mismo con una descarga de software de prueba gratuita y totalmente funcional durante 30 días.