Un análisis de la variante Linux de una nueva cepa de ransomware llamada BlackSuit ha revelado similitudes significativas con otra familia de ransomware llamada Royal.
Trend Micro, que examinó una versión x64 de VMware ESXi dirigida a máquinas Linux, dijo que identificó un "grado extremadamente alto de similitud" entre Royal y BlackSuit. "De hecho, son prácticamente idénticos, con un 98% de similitudes en funciones, un 99.5% de similitudes en bloques y un 98.9% de similitudes en saltos según BinDiff, una herramienta de comparación de archivos binarios", señalaron los investigadores de Trend Micro.
Una comparación de los artefactos de Windows ha identificado una similitud del 93.2% en funciones, un 99.3% en bloques básicos y un 98.4% en saltos basados en BinDiff. BlackSuit salió a la luz por primera vez a principios de mayo de 2023, cuando Palo Alto Networks Unit 42 llamó la atención sobre su capacidad para atacar tanto a hosts de Windows como de Linux.
Siguiendo la lÃnea de otros grupos de ransomware, ejecuta un esquema de doble extorsión que roba y cifra datos sensibles en una red comprometida a cambio de una compensación monetaria. Los datos asociados a una única vÃctima han sido listados en su sitio web oscuro de filtraciones. Los últimos hallazgos de Trend Micro muestran que tanto BlackSuit como Royal utilizan el AES de OpenSSL para el cifrado y utilizan técnicas de cifrado intermitente similares para acelerar el proceso de cifrado.
Aparte de las similitudes, BlackSuit incorpora argumentos adicionales en lÃnea de comandos y evita una lista diferente de archivos con extensiones especÃficas durante la enumeración y el cifrado.
"La aparición del ransomware BlackSuit (con sus similitudes con Royal) indica que o bien se trata de una nueva variante desarrollada por los mismos autores, una imitación que utiliza un código similar, o un afiliado de la banda de ransomware Royal que ha realizado modificaciones en la familia original", dijo Trend Micro. Dado que Royal es una derivación del antiguo equipo de Conti, también es posible que "BlackSuit haya surgido de un grupo escindido dentro de la banda de ransomware Royal original", teorizó la empresa de ciberseguridad.
Este desarrollo subraya una vez más el estado constante de cambio en el ecosistema de ransomware, incluso cuando surgen nuevos actores de amenazas para modificar las herramientas existentes y generar ganancias ilÃcitas.
Esto incluye una nueva iniciativa de ransomware como servicio (RaaS) llamada NoEscape, que según Cyble permite a sus operadores y afiliados aprovechar métodos de triple extorsión para maximizar el impacto de un ataque exitoso. La triple extorsión se refiere a un enfoque de tres puntas en el que la exfiltración de datos y el cifrado se combinan con ataques de denegación de servicio distribuidos (DDoS) contra los objetivos en un intento de interrumpir su negocio y coaccionarlos para que paguen el rescate.
El servicio de DDoS, según Cyble, está disponible por una tarifa adicional de $500,000, y los operadores imponen condiciones que prohÃben a los afiliados atacar a entidades ubicadas en paÃses de la Comunidad de Estados Independientes (CEI).
¿Quieres saber más?