Un’analisi della variante Linux di una nuova famiglia di ransomware chiamata BlackSuit ha rivelato significative somiglianze con un’altra famiglia di ransomware denominata Royal.
Analisi di Royal da parte di Trend Micro
Trend Micro, che ha esaminato una versione x64 VMware ESXi rivolta a macchine Linux, ha affermato di aver identificato un “grado estremamente alto di somiglianza” tra Royal e BlackSuit.
“In effetti, sono quasi identici, con il 98% di somiglianze nelle funzioni, il 99,5% di somiglianze nei blocchi, e il 98,9% di somiglianze nei salti basati su BinDiff, uno strumento di confronto per i file binari,” hanno reso noto i ricercatori di Trend Micro.
Un confronto con le controparti che girano su Windows ha identificato una somiglianza del 93,2% nelle funzioni, del 99,3% nei blocchi di base e del 98,4% nei salti basati su BinDiff.
BlackSuit è venuto alla luce per la prima volta all’inizio di maggio 2023 quando la Unit 42 di Palo Alto Networks ha richiamato l’attenzione sulla sua capacità di colpire sia i sistemi Windows che Linux.
In linea con altri gruppi di ransomware, adotta un doppio schema di estorsione che ruba e crittografa dati sensibili in una rete compromessa in cambio di una compensazione monetaria. I dati associati a una singola vittima sono stati elencati sul suo sito di fuga sul dark web.
Le ultime scoperte di Trend Micro dimostrano che, sia BlackSuit che Royal usano l’AES di OpenSSL per la crittografia e utilizzano tecniche di crittografia intermittenti simili per velocizzare il processo di crittografia.
A parte le sovrapposizioni, BlackSuit incorpora ulteriori argomenti da linea di comando ed evita una diversa lista di file con estensioni specifiche durante l’enumerazione e la crittografia.
“L’emergere del ransomware BlackSuit (con le sue somiglianze con Royal) indica che è o una nuova variante sviluppata dagli stessi autori, un imitatore che utilizza un codice simile, o un affiliato del gang di ransomware Royal che ha implementato modifiche alla famiglia originale,” ha dichiarato Trend Micro.
Considerato che Royal è un ramo concepito dal team Conti, è anche possibile che “BlackSuit sia emerso da un gruppo dissidente all’interno del gang originale del ransomware Royal” ha teorizzato l’azienda di cybersecurity.
Lo sviluppo sottolinea ancora una volta lo stato costante di flusso nell’ecosistema del ransomware, anche mentre emergono nuovi malintenzionati per modificare gli strumenti esistenti e generare profitti illeciti.
Non finisce qui
Nell’allegra combriccola di questi malware c’è anche una nuova iniziativa ransomware-as-a-service (RaaS) battezzata NoEscape che, secondo Cyble, permette ai suoi operatori e affiliati di sfruttare metodi di triplice estorsione per massimizzare l’impatto di un attacco riuscito.
La triplice estorsione si riferisce a particolare tipo di approccio nel quale il prelevamente dei dati e la crittografia vengono accoppiate con attacchi di tipo distributed denial-of-service (DDoS) contro gli obiettivi nel tentativo di interrompere il loro business e costringerli a pagare il riscatto.
Il servizio DDoS, secondo Cyble, è disponibile per un costo aggiuntivo di 500.000 dollari, con gli operatori che impongono condizioni che vietano agli affiliati di colpire entità situate nei paesi del Commonwealth delle Nazioni Indipendenti (CIS), ma si parla ovviamente di vie traverse e ovviamente non legittime, sfruttando VPN come TOR per accedere al deep web.