CISA hợp tác với  FBI phát hành bản cập nhật "Bản tư vấn an ninh mạng chung"

BlackSuit là một phiên bản tiến hóa của (ransomware) Royal, nó tận dụng quyền truy cập ban đầu có được thông qua email lừa đảo để vô hiệu hóa phần mềm diệt virus và đánh cắp dữ liệu nhạy cảm trước khi triển khai mã độc tống tiền và mã hóa hệ thống. Các con đường lây nhiễm phổ biến khác bao gồm việc sử dụng Giao thức điều khiển máy tính từ xa (RDP), khai thác các ứng dụng dễ bị tấn công trên Internet và quyền truy cập được mua thông qua các nhà môi giới truy cập ban đầu (IAB).

BlackSuit được cho là đã sử dụng phần mềm và công cụ quản lý và giám sát từ xa (RMM) giống như phần mềm độc hại SystemBC và GootLoader để duy trì sự tồn tại trong mạng của nạn nhân.

Các cuộc tấn công bằng BlackSuit đã lan rộng trên nhiều lĩnh vực và cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở chính phủ và một số cơ sở sản xuất quan trọng.

Ngày 07/8/2024, CISA hợp tác với  FBI phát hành bản cập nhật: "Bản tư vấn an ninh mạng chung". Bản cập nhật cung cấp các chiến thuật, kỹ thuật và quy trình (TTP) gần đây đã được theo dõi cũng như các chỉ số về sự xâm phạm (IOC) liên quan đến hoạt động của BlackSuit và Royal cũ. Các cuộc điều tra của FBI đã xác định hoạt động của các TTP và IOC này gần đây nhất là vào tháng 7/2024. CISA khuyến khích các nhà sản xuất phần mềm cải thiện vấn đề bảo mật của khách hàng bằng cách áp dụng quy trình bảo mật theo thiết kế.

CISA và FBI cho biết: "BlackSuit đã được phát hiện sử dụng SharpShares và SoftPerfect NetWorx để rà quét các nạn nhân. Công cụ đánh cắp thông tin đăng nhập Mimikatz và các công cụ thu thập mật khẩu từ Nirsoft cũng đã được tìm thấy trên các hệ thống nạn nhân. Các công cụ như PowerTool và GMER thường được sử dụng để vượt qua các quy trình của hệ thống".

CISA và FBI cảnh báo về sự gia tăng sức ép của tin tặc để đòi tiền chuộc 

CISA và FBI đã cảnh báo về sự gia tăng các trường hợp nạn nhân nhận được thông tin qua điện thoại hoặc email từ các thành viên BlackSuit liên quan đến việc xâm phạm và đòi tiền chuộc, một chiến thuật ngày càng được các tin tặc tống tiền áp dụng để gia tăng sức ép.

Tin tặc sử dụng BlackSuit đã đòi số tiền chuộc tổng cộng lên tới 500 triệu USD, trong đó có một trường hợp đòi tiền chuộc lên tới 60 triệu USD.

CISA và FBI cho biết: "Tin tặc sử dụng BlackSuit thể hiện sự sẵn sàng đàm phán về số tiền thanh toán. Số tiền chuộc không phải là một phần của thông báo đòi tiền chuộc ban đầu, tin tặc yêu cầu phải tương tác trực tiếp với kẻ tấn công thông qua URL được cung cấp sau khi mã hóa".

Công ty an ninh mạng Sophos cho biết trong một báo cáo: "Trong những năm gần đây, tin tặc dường như ngày càng quan tâm không chỉ việc đe dọa các nạn nhân trực tiếp mà còn cả các nạn nhân gián tiếp. Ví dụ, vào tháng 01/2024, tin tặc đã gửi tin nhắn văn bản đe dọa đến vợ của một Giám đốc điều hành. Tin tặc còn tuyên bố đánh giá dữ liệu bị đánh cắp để tìm bằng chứng về hoạt động bất hợp pháp, không tuân thủ quy định và sai lệch tài chính, thậm chí còn tuyên bố rằng một nhân viên tại một tổ chức bị xâm phạm đã tìm kiếm tài liệu về lạm dụng tình dục trẻ em bằng cách đăng lịch sử trình duyệt web của họ. Những hành động như vậy không chỉ được sử dụng làm đòn bẩy để ép buộc nạn nhân trả tiền mà còn gây tổn hại đến danh tiếng của nạn nhân".