Negli ultimi tempi, il mondo della sicurezza informatica è stato scosso dall’emergere di un nuovo e pericoloso ransomware conosciuto come BlackSuit. Questo malware, che colpisce sia utenti Windows che Linux, ha sollevato preoccupazioni significative per la sicurezza dei dati personali e aziendali.

  1. Cos’è il BlackSuit Ransomware?
  2. Come funziona BlackSuit Ransomware?
  3. Come si diffonde?
  4. Come si gestisce un attacco BlackSuit
blacksuit ransomware

Cos’è il BlackSuit Ransomware?

BlackSuit è una cybergang che agisce per mezzo di un ransomware sofisticato e versatile. Ad oggi le vittime registrate si affermano attorno alla ventina ma immaginiamo che siano destinate a crescere a dismisura. Il ransomware presenta diversi punti in comunque con una minaccia ben nota alla community, ovvero: Royal Ransomware.
Il ransomware ha la capacità di infiltrarsi nei sistemi operativi Windows e Linux, criptando i file delle vittime con algoritmi avanzati come l’AES (Advanced Encryption Standard).

Una volta completato il processo di criptazione, il ransomware modifica i nomi dei file esfiltrati aggiungendo l’estensione “.BlackSuit” e lascia una nota di riscatto, denominata “README.BlackSuit.txt” e include il link ad un sito TOR chat nella nota, assegnando un ID unico a ciascuna delle sue vittime. Ecco il testo della nota di riscatto:

Good whatever time of day it is!

Your safety service did a really poor job of protecting your files against our professionals.
Extortioner named BlackSuit has attacked your system.

As a result all your essential files were encrypted and saved at a secure serverfor further useand publishing on the Web into the public realm.
Now we have all your files like: financial reports, intellectual property, accounting, law actionsand complaints, personal filesand so onand so forth.

We are able to solve this problem in one touch.
We (BlackSuit) are ready to give you an opportunity to get all the things back if you agree to makea deal with us.
You have a chance to get rid of all possible financial, legal, insurance and many others risks and problems for a quite small compensation.
You can have a safety review of your systems.
All your files will be decrypted, your data will be reset, your systems will stay in safe.
Contact us through TOR browser using the link:

La nota viene rilasciata in ogni directory che il malware infetta​​.

Come funziona BlackSuit Ransomware?

BlackSuit Ransomware si distingue per il suo processo di attacco complesso e multifasico.
Il malware è scritto in linguaggio C/C++ e questo ransomware si attiva attraverso una serie di parametri di linea di comando che dirigono le sue azioni specifiche, come la criptazione dei file e l’alterazione delle impostazioni di sistema​​. Un aspetto distintivo è la sua capacità di terminare servizi specifici e macchine virtuali per facilitare l’efficace criptazione dei file, evitando rilevamenti e analisi​​.

Una volta infettato un sistema, BlackSuit utilizza funzioni API per elencare e criptare i file.
Utilizzando algoritmi come l’AES, cripta i file. In aggiunta, il ransomware modifica lo sfondo del desktop e deposita una nota di riscatto in ogni directory, segnalando l’avvenuta criptazione e richiedendo un pagamento per la decrittazione dei file​​.

Una caratteristica peculiare di BlackSuit è la sua capacità di disattivare la modalità di avvio sicuro e di auto-eliminarsi dopo l’attacco per ridurre le tracce della sua presenza, rendendo così più difficile per gli esperti di sicurezza informatica e le autorità rintracciare l’origine dell’attacco​​.

In sintesi, BlackSuit Ransomware è un malware sofisticato che utilizza una varietà di tecniche avanzate per criptare i file, eludere il rilevamento e costringere le vittime al pagamento del riscatto. La sua natura insidiosa sottolinea l’importanza di misure di sicurezza robuste e di una vigilanza costante nel campo della sicurezza informatica.

Confronto tra le Varianti ESXi di Royal e BlackSuit

Secondo un’indagine TrendMicro, una variante di BlackSuit è stata specificamente progettata per sistemi Linux ESXi x64.
L’analisi delle regole YARA, specificamente create per BlackSuit, ha mostrato una corrispondenza con i campioni della variante Linux del ransomware Royal. Utilizzando lo strumento BinDiff per un’analisi comparativa, si è scoperto che BlackSuit e Royal presentano una straordinaria somiglianza: condividono il 98% delle funzioni, il 99,5% dei blocchi di codice e il 98,9% dei salti di codice.

Questo suggerisce un’evoluzione parallela o una possibile origine comune tra queste due famiglie di ransomware​​.

Dettagli tecnici sui parametri della linea di comando

Nel dettaglio, BlackSuit utilizza argomenti della linea di comando simili a Royal, ma con variazioni significative.
Ad esempio, mentre Royal usa il parametro “-id” seguito da un identificativo di 32 byte, BlackSuit usa “-name” con la stessa lunghezza per identificare le vittime. Altri parametri come “-ep” in Royal e “-percent” in BlackSuit servono a definire i parametri di criptazione.
Inoltre, BlackSuit introduce parametri aggiuntivi non presenti in Royal, come “-thrcount” per creare un numero specifico di thread in base al conteggio dei processori della macchina infetta e “-skip” per specificare un file di testo contenente cartelle da saltare durante la criptazione. Questi dettagli sottolineano le sofisticate differenziazioni tecniche tra i due malware, rivelando una profonda comprensione della strategia di attacco dietro BlackSuit​​.

Come si diffonde?

Il ransomware BlackSuit si diffonde attraverso vari metodi come:

  1. allegati email infetti
  2. siti torrent
  3. pubblicità malevole
  4. trojan.

Gli allegati email possono contenere link o macro infetti che, una volta aperti o attivati, iniziano l’esecuzione del ransomware sul sistema dell’utente.
I file torrent infetti sono un altro veicolo comune, così come le pubblicità malevole (malvertising) che possono reindirizzare l’utente a siti che automaticamente scaricano il ransomware. Infine, i trojan possono fungere da condotti per il download e l’installazione di BlackSuit, spesso travestiti da software legittimi o aggiornamenti.

Come si gestisce un attacco BlackSuit

Fronteggiare un attacco del ransomware BlackSuit richiede un’azione rapida e mirata.

In primo luogo, è essenziale isolare immediatamente il sistema infetto per prevenire la diffusione del malware ad altri dispositivi o reti.
Questo include scollegare il sistema da qualsiasi rete e disconnettere dispositivi di storage esterni.

Successivamente, è cruciale rivolgersi ad un partner cyber security per fronteggiare l’emergenza ransomware. Durante l’intero processo, è fondamentale non pagare il riscatto, poiché ciò non garantisce la restituzione dei dati e può incoraggiare ulteriori attacchi.