Ransomware Royal Usa o Encryptor Blacksuit para Atacar Empresas

Royal Ransomware é um grupo de ransomware composto por testadores de penetração e aqueles associados à Conti Team 1, além de outros recrutas de gangues de ransomware que visam organizações. Lançado em 2023, acredita-se que seja o sucessor da Conti, que foi encerrada em junho de 2022.

Desde sua criação, o Royal Ransomware tem sido muito ativo e é responsável por vários ataques a empresas, e parece que o Royal Ransomware Group começou a testar um novo encryptor chamado Blacksuit que possui muitas semelhanças com o encryptor da campanha regular.

Houve bastante burburinho desde abril passado de que o ransomware Royal estava sendo rebatizado sob um novo nome. Isso se tornou mais sério à medida que o grupo de ransomware se sentiu pressionado pela aplicação da lei após atacar a cidade de Dallas, Texas.

Em maio, pesquisadores de cibersegurança descobriram ataques que usavam seu próprio encryptor de marca e negociação Tor, e acredita-se que essas foram as campanhas que o ransomware Royal estaria rebranding, mas, como se vê, não houve rebranding, o grupo de ransomware ainda está atacando as organizações e está usando o Blacksuit em menos ataques.

Yelisey Bohuslavskiy, parceiro e chefe de P&D na RedSense, postou no LinkedIn que o Royal, o herdeiro direto da Conti, consiste em mais de 60 testadores de penetração, seja do antigo Gaurd da Conti ou recrutados de vários grupos de ransomware de elite. Operando em pequenos grupos de 4-5 indivíduos, eles permanecem leais a seus líderes.

Leia: Nova Variante de Trojan Royal Descoberta, Alvo de Máquinas Virtuais VMware ESXi

O grupo de ransomware emprega Blacksuit e Royal Loader, com Emotet e IcedID como precursores. Eles priorizam alternativas ao CobaltStrike, especialmente Silver, e desenvolvem precursores personalizados.

De acordo com Bohuslavskiy, é viável que o grupo de ransomware esteja simplesmente testando um novo encryptor, como têm feito com outras ferramentas usadas por eles, incluindo um novo loader IcedID e revitalizando o Emotet.

Eles também continuam melhorando o Emoled para revitalizá-lo e estão trabalhando muito no IcedID. Seus experimentos com novos lockers são naturais nesse sentido, menciona Bohuslavskiy.

Além disso, Bohuslavskiy disse que podemos ver mais coisas como o Blacksuit em breve. Mas, até agora, parece que tanto o novo loader quanto o locker Blacksuit foram um experimento fracassado.

Como o Blacksuit é uma atividade autônoma, é provável que o Royal esteja planejando iniciar um subgrupo focado em tipos específicos de vítimas, ou está sendo mantido para um rebranding mais tarde. Embora, pode ser que não vejamos um rebranding, pois há semelhanças claras entre Blacksuit e Royal Ransomware, destacadas em um relatório da Trend Micro.

As semelhanças incluem semelhanças de código, inclusão de arquivos e mais. Embora, não esteja claro como o blacksuit será usado. Ele ainda está sendo usado em alguns dos ataques. Até agora, há apenas uma vítima listada em seu site de vazamento de dados, embora isso possa mudar muito rapidamente se o novo encryptor for mais utilizado.

Leia: O Grupo de Hackers Dark Pink Alvo de Organizações Militares e Governamentais