O FBI e a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicaram uma atualização conjunta sobre o grupo de ransomware BlackSuit. Este alerta fornece táticas, técnicas e procedimentos (TTPs) recentemente observados, além de indicadores de comprometimento (IOCs) relacionados à operação do BlackSuit, que é uma rebranding do antigo ransomware Royal, identificado por investigações do FBI até julho de 2024.

O ransomware BlackSuit tem como alvo vários setores críticos de infraestrutura, incluindo instalações comerciais, saúde, governo e manufatura. Os atores do BlackSuit ganham acesso inicial às redes das vítimas por meio de vários métodos, incluindo campanhas de phishing, Protocolo de Área de Trabalho Remota (RDP) (utilizado em cerca de 13,3% dos incidentes), exploração de vulnerabilidades em aplicativos expostos publicamente e uso de acessos fornecidos por brokers de acesso e coleta de credenciais de VPN a partir de logs de malware.

Historicamente, os atores do Royal foram observados utilizando ferramentas como Chisel, cliente Secure Shell (SSH), PuTTY, OpenSSH e MobaXterm para comunicações de comando e controle (C2). O grupo utiliza SharpShares e SoftPerfect NetWorx para mapear redes de vítimas, além de ferramentas como Mimikatz e Nirsoft para roubo de credenciais e coleta de senhas. Eles também costumam implantar ferramentas como PowerTool e GMER para encerrar processos do sistema.

A exfiltração de dados roubados das redes das vítimas é realizada por meio de ferramentas de pós-exploração, como Cobalt Strike, e malware como Ursnif. Os atores do BlackSuit normalmente exigem resgates que variam de US$ 1 milhão a US$ 10 milhões, com pagamentos em Bitcoin, tendo coletivamente buscado mais de US$ 500 milhões, com a maior demanda individual chegando a US$ 60 milhões.