Royal Ransomware использует шифратор Blacksuit для атак на предприятия

Royal Ransomware — это группа вымогателей, состоящая из пен-тестеров и людей, связанных с командой Conti 1, а также других рекрутов из других групп вымогателей, нацеленных на организации. Запущенная в 2023 году, она считается преемником Conti, которая была закрыта в июне 2022 года.

С момента своего создания Royal Ransomware была очень активной и несет ответственность за несколько атак на предприятия, и, похоже, группа Royal Ransomware начала тестировать новый шифратор под названием Blacksuit, который имеет много сходств с обычным шифратором кампании.

С апреля прошлого года было много слухов о том, что Royal Ransomware переименовывается под новое имя. Это стало более серьезным, когда группа вымогателей почувствовала давление со стороны правоохранительных органов после атаки на город Даллас, штат Техас.

В мае исследователи в области кибербезопасности обнаружили атаки, использующие собственный брендированный шифратор и переговоры через Tor, и считается, что это были кампании, в которые Royal Ransomware собиралась переименоваться, но, как оказалось, переименования не произошло, группа вымогателей по-прежнему атакует организации и использует Blacksuit в меньшем количестве атак.

Елисей Богуславский, партнер и руководитель НИОКР в RedSense, опубликовал в LinkedIn, что Royal, прямой наследник Conti, состоит из более чем 60 пен-тестеров, либо из старой охраны Conti, либо рекрутированных из различных элитных групп вымогателей. Работая в небольших группах по 4-5 человек, они остаются верными своим лидерам.

Читать: Обнаружен новый вариант трояна Royal, нацеленный на виртуальные машины VMware ESXi

Группа вымогателей использует Blacksuit и Royal Loader, с Emotet и IcedID в качестве предшественников. Они отдают предпочтение альтернативам CobaltStrike, особенно Silver, и разрабатывают собственные предшественники.

Согласно Богуславскому, вполне возможно, что группа вымогателей просто тестирует новый шифратор, как и с другими инструментами, которые они использовали, включая новый загрузчик IcedID и обновление Emotet.

Они также продолжают улучшать Emoled, чтобы обновить его, и активно работают над IcedID. Их эксперименты с новыми локерами естественны в этом смысле, упоминает Богуславский.

Кроме того, Богуславский сказал, что мы можем вскоре увидеть больше подобных вещей, как Blacksuit. Но пока что, похоже, что как новый загрузчик, так и локер Blacksuit были неудачным экспериментом.

Поскольку Blacksuit является самостоятельной активностью, Royal, вероятно, планирует начать подсистему, сосредоточенную на конкретных типах жертв, или она сохраняется для переименования позже. Хотя мы можем не увидеть переименования, так как есть явные сходства между Blacksuit и Royal Ransomware, о чем говорится в отчете Trend Micro.

Сходства включают сходства в коде, включение файлов и многое другое. Хотя неясно, как будет использоваться blacksuit. Он все еще используется в некоторых атаках. На данный момент на их сайте утечки данных указана только одна жертва, хотя это может быстро измениться, если новый шифратор будет использоваться более активно.

Читать: Группа хакеров Dark Pink, нацеленная на военные и государственные организации