Royal ransomware thêm bộ mã hóa BlackSuit vào kho vũ khí của chúng

Royal Ransomware  đã bắt đầu thử nghiệm một bộ mã hóa mới có tên BlackSuit có nhiều điểm tương đồng với bộ mã hóa thông thường của hoạt động.

Royal ra mắt vào tháng 1 năm 2023, được cho là kế thừa trực tiếp hoạt động Conti khét tiếng, đã  ngừng hoạt động vào tháng 6 năm 2022 .

Nhóm này là một hoạt động ransomware tư nhân bao gồm penters, các chi nhánh từ 'Nhóm Conti 1' và các chi nhánh mà họ tuyển dụng từ các nhóm ransomware nhắm mục tiêu doanh nghiệp khác.

Kể từ khi ra mắt,  Royal Ransomware  đã trở thành một trong những hoạt động tích cực nhất, chịu trách nhiệm cho nhiều cuộc tấn công vào doanh nghiệp.

Kể từ cuối tháng 4, đã có tin đồn rằng  hoạt động Royal  ransomware  đã sẵn sàng để đổi thương hiệu dưới một tên mới. Điều này leo thang hơn nữa sau khi họ bắt đầu cảm thấy áp lực từ cơ quan thực thi pháp luật sau khi họ tấn công  Thành phố Dallas, Texas .

Một hoạt động ransomware BlackSuit mới đã được phát hiện vào tháng 5, sử dụng các trang thương lượng Tor và mã hóa mang nhãn hiệu riêng của nó. Người ta tin rằng đây là hoạt động ransomware mà nhóm ransomware Royal sẽ đổi thương hiệu thành.

Tuy nhiên, việc đổi thương hiệu đã không bao giờ xảy ra và Royal vẫn đang tích cực tấn công doanh nghiệp trong khi sử dụng BlackSuit trong các cuộc tấn công hạn chế.

"Royal: Người thừa kế trực tiếp của Conti, bao gồm hơn 60 người kiểm tra từ "Old Guard" của Conti hoặc được tuyển dụng từ các nhóm ransomware ưu tú khác nhau. Hoạt động trong các nhóm nhỏ gồm 4-5 cá nhân, họ vẫn trung thành với các nhà lãnh đạo của mình: Quản trị viên và Kỹ sư trưởng ", Yelisey Bohuslavskiy, Đối tác và Trưởng phòng R&D tại RedSense,  đã đăng trên LinkedIn .

"Nhóm sử dụng tủ khóa Royal và BlackSuit, với Emotet và IcedID làm tiền thân. Họ ưu tiên các lựa chọn thay thế cho CobaltStrike, đặc biệt là Sliver và phát triển các bộ nạp tiền thân tùy chỉnh."

Bohuslavskiy nói thêm với BleepingComputer rằng có thể Royal chỉ đang thử nghiệm một bộ mã hóa mới, giống như chúng đã từng làm với các công cụ khác được nhóm sử dụng, bao gồm một trình tải mới, IcedID và hồi sinh Emotet.

"Họ tiếp tục cải thiện Emoted để cố gắng hồi sinh nó và đang làm việc rất nhiều trên IcedID. Các thử nghiệm của họ với tủ khóa mới là điều tự nhiên theo nghĩa này." Bohuslavskiy giải thích.

"Tôi tin rằng chúng ta có thể sớm thấy nhiều thứ hơn như bộ đồ đen. Nhưng cho đến nay, có vẻ như cả bộ tải mới và tủ khóa Blacksuit mới đều là một thử nghiệm thất bại."

Trang web rò rỉ dữ liệu ransomware BlackSuit

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. 

Trung tâm bảo hành thiết bị cho quý khách không giới hạn thời gian, nhanh chóng tại nhà khách hàng, đến tận nơi với chuyên gia sửa chữa