أعادت عصابة برامج الفدية الإجرامية الإلكترونية التي كانت تعمل سابقًا باسم Royal تسمية نفسها وإعادة إطلاقها باسم BlackSuit، وتستهدف بنشاط المنظمات عبر قطاعات متعددة بمطالب ابتزاز كبيرة، وفقًا لـ تنبيه من وكالة الأمن السيبراني وأمن البنية التحتية بالولايات المتحدة (CISA) تحت رعاية حملتها المستمرة #StopRansomware.
من المرجح أن يكون من نسل عملية كونتي المنحلة ويحمل روابط محتملة مع طواقم أخرى مثل بلاك باستا وهايفكانت رويال في الخدمة لمدة تسعة أشهر تقريبًا بين خريف عام 2022 وصيف عام 2023، وفي ذلك الإطار الزمني نفذ سلسلة من الهجمات المدمرة.
وقد تم تتبع ظهوره بعد 12 شهرًا باسم BlackSuit من قبل كل من وكالة الأمن السيبراني والبنية التحتية (CISA) ومكتب التحقيقات الفيدرالي (FBI)، اللذان حكما من خلال العديد من الهجمات الإلكترونية المعروفة أن خزانة برامج الفدية الخاصة بها تشترك في أوجه تشابه كبيرة في الترميز مع تلك الموجودة في Royal، وتظهر أيضًا “قدرات محسنة”.
ومن بين هذه البرامج، قالت وكالة الأمن السيبراني والحماية (CISA): “تستخدم BlackSuit نهج تشفير جزئي فريد من نوعه يسمح للمهاجم باختيار نسبة معينة من البيانات في ملف لتشفيرها”.
وبهذه الطريقة، يمكن خفض نسبة التشفير للملفات الأكبر حجمًا، مما يساعد العصابة على التهرب من الاكتشاف، ويحسن بشكل كبير السرعة التي يمكن أن تعمل بها برامج الفدية نفسها.
كما هو الحال مع العصابات الأخرى، يتم استخدام رسائل البريد الإلكتروني الاحتيالية في أغلب الأحيان للحصول على الوصول الأولي – على الرغم من أن BlackSuit معروفة أيضًا باستخدام بروتوكول سطح المكتب البعيد (RDP)، والثغرات الأمنية في تطبيقات الويب العامة، وخدمات وسطاء الوصول الأولي (IABs).
بعد الحصول على الوصول، يقوم عملاء الشركة أيضًا بتعطيل برنامج مكافحة الفيروسات للضحايا قبل الذهاب إلى العمل. تقوم BlackSuit بأنشطة استخراج البيانات وابتزاز ضحاياها قبل تشفير بياناتهم، والتي يتم نشرها لاحقًا على موقع تسريب الويب المظلم إذا لم يتم استلام الدفع.
وقالت وكالة الأمن السيبراني والبنية التحتية إن العصابة طالبت بشكل جماعي بأكثر من 500 مليون دولار (393.4 مليون جنيه إسترليني) كمكافآت، حيث تتراوح الفدية النموذجية من مليون دولار في الحد الأدنى من المقياس إلى حوالي 10 ملايين دولار، على الرغم من أنه من المعروف أن هناك طلبًا واحدًا على الأقل بقيمة 60 مليون دولار قد تم تقديمه.
تتميز العصابة بعدم مطالبتها بفدية في بداية هجومها؛ بل يتعين على الضحايا التفاعل مباشرة مع مفاوضيها من خلال عنوان URL الخاص بـ Tor Onion، والذي يتم تسليمه بعد تشفير البيانات. ومن المعروف أيضًا أن BlackSuit حاولت استخدام المكالمات الهاتفية ورسائل البريد الإلكتروني للضغط على ضحاياها.
مارتن كرايمر، مدافع عن الوعي الأمني في اعرف 4وقال: “إن المجموعة المسؤولة عن برنامج الفدية BlackSuit معروفة باستخدام تكتيكات عدوانية لابتزاز الأموال. فهم لا يخشون تهديد الشركات بكشف مخالفات الشركات، أو ترهيب أقارب الموظفين والقادة، أو ابتزاز الموظفين من خلال الكشف عن الأنشطة غير القانونية.
“إن هذه التكتيكات مصممة لإبقاء الأعمال التجارية تحت سيطرتهم. وكلما زاد الضرر الذي يلحقونه بسمعة الشركة، كلما زادت احتمالية دفع الضحية للتعويض. وهذه هي استراتيجيتهم.
“نحن على وشك الدخول في سيناريو حيث تعمل مجموعات برامج الفدية عن كثب مع مقدمي خدمات التضليل. على شبكة الويب المظلمة، يمكن للمرء ترتيب حملات لتدمير السمعة الشخصية لشخص ما أو التلاعب بأسعار الأسهم. تكلفة مثل هذه الحملات أقل بكثير مقارنة بدفع فدية محتملة.
“يجب أن تكون المنظمات مستعدة. يجب على فرق إدارة الأزمات والاستجابة للحوادث التعاون بشكل وثيق مع قسم العلاقات العامة لضمان المستوى المناسب من الشفافية والحد من الضرر الذي قد يلحق بثقة الموظفين والمستهلكين. مع تحول التضليل المستهدف إلى عامل، يجب على أقسام العلاقات العامة أيضًا أن تكون مستعدة لتوقع وإدارة الروايات التي قد تلحق ضررًا كبيرًا بالشركة. سواء كان الأمر يتعلق بالإهمال المزعوم أو سوء السلوك، فيجب على أقسام العلاقات العامة أن تكون لديها استجابات جاهزة.”
مزيد من المعلومات حول BlackSuit، بما في ذلك مؤشرات الاختراق المحدثة (IoCs)، متاح من CISA.
