Il Ransomware Royal Usa l'Encryptor Blacksuit per Attaccare le Imprese

Il Ransomware Royal è un gruppo di ransomware composto da pen-tester e da membri associati al Conti Team 1, e da altri reclutati da altre bande di ransomware che prendono di mira le organizzazioni. Lanciato nel 2023, si crede sia il successore di Conti, che ha chiuso a giugno 2022.

Sin dalla sua nascita, il Ransomware Royal è stato molto attivo ed è responsabile di diversi attacchi alle imprese, e sembra che il Gruppo Ransomware Royal abbia iniziato a testare un nuovo encryptor chiamato Blacksuit che ha molte somiglianze con l’encryptor della campagna regolare.

Ci sono state abbastanza voci da aprile scorso che il ransomware Royal stava cambiando nome. Questo è diventato più serio quando il gruppo di ransomware ha sentito la pressione delle forze dell’ordine dopo aver attaccato la città di Dallas, Texas.

A maggio, i ricercatori di cybersecurity hanno scoperto attacchi che utilizzavano il proprio encryptor marchiato e la negoziazione Tor, e si crede che queste fossero le campagne in cui il ransomware Royal si sarebbe ri-marchiato, ma a quanto pare, non c’è stata alcuna ri-marchiatura, il gruppo di ransomware sta ancora attaccando le organizzazioni e sta usando Blacksuit in meno attacchi.

Yelisey Bohuslavskiy, Partner e Responsabile R&D in RedSense, ha pubblicato su LinkedIn che Royal, l’erede diretto di Conti, è composto da oltre 60 pen tester, sia dell’ex Guardia di Conti che reclutati da vari gruppi di ransomware d’élite. Operando in piccoli gruppi di 4-5 individui, rimangono fedeli ai loro leader.

Leggi: Nuova Variante di Trojan Royal Scoperta, Prende di Mira le Macchine Virtuali VMware ESXi

Il gruppo di ransomware impiega Blacksuit e Royal Loader, con Emotet e IcedID come precursori. Danno priorità ad alternative a CobaltStrike, in particolare Silver, e sviluppano precursori personalizzati.

Secondo Bohuslavskiy, è probabile che il gruppo di ransomware stia semplicemente testando un nuovo encryptor come hanno fatto con altri strumenti utilizzati da loro, incluso un nuovo loader IcedID e rinvigorendo Emotet.

Stanno anche continuando a migliorare l’Emoled per rinvigorirlo e stanno lavorando molto su IcedID. I loro esperimenti con nuovi locker sono naturali in quel senso, menziona Bohuslavskiy.

In aggiunta a questo, Bohuslavskiy ha detto che potremmo vedere più cose come Blacksuit presto. Ma finora, sembra che sia il nuovo loader che il locker Blacksuit siano stati un esperimento fallito.

Poiché Blacksuit è un’attività autonoma, è probabile che Royal stia pianificando di avviare un sottogruppo focalizzato su tipi specifici di vittime, o che venga tenuto per un rebranding più avanti. Anche se, potremmo non vedere un rebranding poiché ci sono chiare somiglianze tra Blacksuit e Ransomware Royal, evidenziate in un rapporto di Trend Micro.

Le somiglianze includono somiglianze di codice, inclusione di file e altro. Anche se, non è chiaro come blacksuit sarà utilizzato. Viene ancora utilizzato in alcuni degli attacchi. Ad ora, c’è solo una vittima elencata sul loro sito web di fuga di dati anche se può cambiare molto rapidamente se il nuovo encryptor viene utilizzato più intensamente.

Leggi: Il Gruppo di Hacker Dark Pink che Prende di Mira le Organizzazioni Militari e Governative