Le forze dell’ordine di sei paesi hanno smantellato l’infrastruttura usata dal gruppo BlackSuit per eseguire gli attacchi ransomware. Gli esperti del Draco Team di Bitdefender hanno fornito un supporto tecnico contribuendo al successo della Operation Checkmate. La software house rumena ha pubblicato un post sul blog ufficiale per descrivere le tecniche usate dai cybercriminali.
Catena di infezione fino al ransomware
Il gruppo BlackSuit ha usato diverse tattiche per l’accesso iniziale ai sistemi. Principalmente sfruttano il phishing per inviare email con allegati PDF infetti o il malvertising. In alternativa usato il Remote Desktop Protocol (RDP) e le vulnerabilità dei servizi online. Recentemente hanno nascosto i malware in installer fake di Zoom.
Per mantenere l’accesso ai sistemi (persistenza) hanno usato tool legittimi di gestione e monitoraggio remoto oppure tool specifici (come SystemBC) per modificare il registro di Windows e aggiungere attività pianificate. Il passo successivo è ottenere i privilegi di amministratore tramite la modifica degli account, la creazione di nuovi account o l’esecuzione di script.
L’accesso agli altri computer collegati alla rete interna (movimento laterale) avviene tramite SMB, PsExec o credenziali conservate in LSASS (Local Security Authority Subsystem Service). Per esfiltrare i dati sfruttano Cobalt Strike, Gozi, RClone e Brute Ratel.
L’ultimo step prevede l’installazione dell’omonimo ransomware che sfrutta la crittografia parziale, tecnica che velocizza l’operazione e permette di evitare la rilevazione. Viene quindi chiesto il pagamento di un riscatto. Le vittime devono contattare i cybercriminali tramite Tor. Il ransomware è compatibile con Windows, Linux, ESXi e sistemi NAS.
I bersagli di BlackSuit sono aziende che operano in diversi settori con elevati profitti. Secondo una recente stima, il gruppo ha colpito oltre 350 organizzazioni nel mondo chiedendo riscatti per oltre 500 milioni di dollari.
Ti potrebbe interessare
29 lug 2025