Royal Ransomware verwendet den Blacksuit-Encryptor, um Unternehmen anzugreifen

Royal Ransomware ist eine Ransomware-Gruppe, die aus Pen-Testern und Mitgliedern des Conti-Teams 1 sowie anderen Rekruten aus verschiedenen Ransomware-Gangs besteht, die Organisationen ins Visier nehmen. Sie wurde 2023 ins Leben gerufen und gilt als Nachfolger von Conti, das im Juni 2022 eingestellt wurde.

Seit ihrer Gründung ist Royal Ransomware sehr aktiv und ist für mehrere Angriffe auf Unternehmen verantwortlich. Es scheint, dass die Royal Ransomware-Gruppe begonnen hat, einen neuen Encryptor namens Blacksuit zu testen, der viele Ähnlichkeiten mit dem regulären Kampagnen-Encryptor aufweist.

Es gab bereits im letzten April genug Gerüchte, dass die Royal-Ransomware unter einem neuen Namen umbenannt werden sollte. Dies wurde ernster, als die Ransomware-Gruppe unter Druck von Strafverfolgungsbehörden geriet, nachdem sie die Stadt Dallas, Texas, angegriffen hatte.

Im Mai entdeckten Cybersicherheitsforscher Angriffe, die ihren eigenen markenrechtlich geschützten Encryptor und Tor-Verhandlungen verwendeten. Es wird angenommen, dass dies die Kampagnen waren, in die sich die Royal-Ransomware umbenennen wollte, aber wie sich herausstellt, gab es keine Umbenennung; die Ransomware-Gruppe greift weiterhin Organisationen an und verwendet Blacksuit in weniger Angriffen.

Yelisey Bohuslavskiy, Partner und Leiter von R&D bei RedSense, postete auf LinkedIn, dass Royal, der direkte Erbe von Conti, aus über 60 Pen-Testern besteht, entweder aus Contis alter Garde oder rekrutiert aus verschiedenen Elite-Ransomware-Gruppen. Sie operieren in kleinen Gruppen von 4-5 Personen und bleiben ihren Anführern treu.

Lesen: Neue Royal Trojan-Variante entdeckt, zielt auf VMware ESXi-virtuelle Maschinen ab

Die Ransomware-Gruppe setzt Blacksuit und Royal Loader ein, mit Emotet und IcedID als Vorläufern. Sie priorisieren Alternativen zu CobaltStrike, insbesondere Silver, und entwickeln benutzerdefinierte Vorläufer.

Laut Bohuslavskiy ist es möglich, dass die Ransomware-Gruppe einfach einen neuen Encryptor testet, wie sie es auch mit anderen von ihnen verwendeten Tools getan haben, einschließlich eines neuen Loaders IcedID und der Wiederbelebung von Emotet.

Sie verbessern auch ständig das Emoled, um es wiederzubeleben, und arbeiten viel an IcedID. Ihre Experimente mit neuen Lockern sind in diesem Sinne natürlich, erwähnt Bohuslavskiy.

Zusätzlich sagte Bohuslavskiy, dass wir möglicherweise bald mehr Dinge wie Blacksuit sehen werden. Aber bisher scheint es, dass sowohl der neue Loader als auch der Blacksuit-Locker ein gescheitertes Experiment waren.

Da Blacksuit eine eigenständige Aktivität ist, plant Royal wahrscheinlich, eine Untergruppe zu gründen, die sich auf bestimmte Arten von Opfern konzentriert, oder es wird für eine spätere Umbenennung aufbewahrt. Obwohl wir möglicherweise keine Umbenennung sehen, da es klare Ähnlichkeiten zwischen Blacksuit und Royal Ransomware gibt, die in einem Bericht von Trend Micro hervorgehoben werden.

Die Ähnlichkeiten umfassen Code-Ähnlichkeiten, Dateiintegration und mehr. Es ist jedoch unklar, wie Blacksuit verwendet wird. Es wird immer noch in einigen der Angriffe eingesetzt. Derzeit ist nur ein Opfer auf ihrer Datenleck-Website aufgeführt, obwohl sich dies sehr schnell ändern kann, wenn der neue Encryptor intensiver genutzt wird.

Lesen: Die Dark Pink Hacker-Gruppe, die militärische und staatliche Organisationen ins Visier nimmt