La recente allerta emessa dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Federal Bureau of Investigation (FBI) ha evidenziato il pericolo crescente rappresentato dal ransomware BlackSuit. Questo malware, un'evoluzione del ransomware Royal, ha richiesto fino a 500 milioni di dollari in riscatti, con richieste individuali che hanno raggiunto i 60 milioni di dollari. BlackSuit ha preso di mira diversi settori di infrastrutture critiche, tra cui strutture commerciali, sanitarie, governative e manifatturiere.

Gli attacchi di BlackSuit iniziano spesso con e-mail di phishing che permettono ai cybercriminali di ottenere un accesso iniziale ai sistemi delle vittime. Successivamente, disattivano il software antivirus e sottraggono dati sensibili prima di distribuire il ransomware e criptare i sistemi. Altri metodi di infezione includono l'uso del Remote Desktop Protocol (RDP), l'exploitation di applicazioni vulnerabili esposte a Internet e l'accesso acquistato tramite broker di accesso iniziale (IAB).

Gli attori di BlackSuit sono noti per utilizzare software legittimi di monitoraggio e gestione remota (RMM) e strumenti come SystemBC e GootLoader per mantenere la persistenza nelle reti delle vittime. CISA e FBI hanno osservato che BlackSuit impiega SharpShares e SoftPerfect NetWorx per enumerare le reti delle vittime e strumenti di furto di credenziali come Mimikatz e Nirsoft. Inoltre, strumenti come PowerTool e GMER vengono spesso utilizzati per terminare i processi di sistema.

Un aspetto preoccupante è l'aumento delle comunicazioni telefoniche o via e-mail da parte degli attori di BlackSuit con le vittime riguardo al compromesso e al riscatto, una tattica sempre più adottata per aumentare la pressione. Gli attori di BlackSuit non si limitano a minacciare le organizzazioni, ma prendono di mira anche vittime secondarie. Ad esempio, attacchi recenti hanno minacciato pazienti di ospedali oncologici e inviato messaggi minatori ai coniugi dei CEO.

Gli aggressori esaminano i dati rubati per trovare prove di attività illegali, non conformità normative e discrepanze finanziarie, arrivando persino a sostenere che un dipendente di un'organizzazione compromessa stesse cercando materiale di abuso sessuale su minori, pubblicando la cronologia del browser. Questi metodi aggressivi non solo aumentano la pressione sulle vittime per pagare il riscatto, ma causano anche danni reputazionali, criticando le vittime come non etiche o negligenti.

In questo contesto, emergono nuove famiglie di ransomware come Lynx, OceanSpy, Radar e Zola, mentre gruppi esistenti continuano a evolversi, incorporando nuovi strumenti nei loro arsenali. Un esempio è Hunters International, che utilizza un nuovo malware basato su C# chiamato SharpRhino come vettore di infezione iniziale e trojan di accesso remoto (RAT). Questo malware è stato distribuito tramite un dominio di typosquatting che imita lo strumento di amministrazione di rete Angry IP Scanner.

Le campagne di malvertising hanno recentemente distribuito questo malware, come riportato da eSentire. SharpRhino si distingue per la sua capacità di ottenere un alto livello di permessi sul dispositivo infetto, garantendo all'attaccante un accesso remoto stabile per proseguire l'attacco con minime interruzioni. Hunters International è considerato una rinascita del gruppo ransomware Hive, dichiarando responsabilità per 134 attacchi nei primi sette mesi del 2024.