Анализът на варианта за Linux на нов щам рансъмуер, наречен BlackSuit, откри значителни прилики с друго семейство рансъмуер, наречено Royal.

Компанията Trend Micro, която е изследвала x64 версията на VMware ESXi, насочена към машини с Linux, заяви, че е установила „изключително висока степен на сходство“ между Royal и BlackSuit.

„Всъщност те са почти идентични, с 98% сходство във функциите, 99,5% сходство в блоковете и 98,9% сходство в скоковете въз основа на BinDiff, инструмент за сравнение на двоични файлове“, отбелязват изследователите от Trend Micro.

Сравнението на артефактите на Windows е установило 93,2% сходство във функциите, 99,3% в основните блокове и 98,4% в скоковете въз основа на BinDiff.

За първи път BlackSuit стана известен в началото на май 2023 г., когато Palo Alto Networks Unit 42 обърна внимание на способността му да се насочва както към хостове с Windows, така и към такива с Linux.

В унисон с други групи за откуп, той изпълнява двойна схема за изнудване, която краде и криптира чувствителни данни в компрометирана мрежа в замяна на парична компенсация. Данните, свързани с една-единствена жертва, са посочени в нейния сайт за изтичане на данни в тъмната мрежа.

Последните констатации на Trend Micro показват, че както BlackSuit, така и Royal използват AES на OpenSSL за криптиране и използват сходни техники за криптиране с прекъсвания, за да ускорят процеса на криптиране.

Като оставим настрана съвпаденията, BlackSuit включва допълнителни аргументи от командния ред и избягва различен списък с файлове със специфични разширения по време на изброяването и криптирането.

„Появата на рансъмуера BlackSuit (с неговите прилики с Royal) показва, че той е или нов вариант, разработен от същите автори, или подражател, използващ подобен код, или филиал на бандата на рансъмуера Royal, който е въвел модификации в оригиналното семейство“, заявиха от Trend Micro.

Като се има предвид, че Royal е разклонение на някогашния екип на Conti, възможно е също така „BlackSuit да е възникнал от отцепническа група в рамките на оригиналната банда Royal ransomware“, теоретизира компанията за киберсигурност.

Разработката още веднъж подчертава постоянното състояние на движение в екосистемата на рансъмуера, дори когато се появяват нови  банди, за да усъвършенстват съществуващите инструменти и да генерират незаконни печалби.

Това включва нова инициатива „ransomware-as-a-service“ (RaaS) с кодово име NoEscape, която според Cyble позволява на нейните оператори и филиали да се възползват от тройни методи за изнудване, за да увеличат въздействието на успешна атака.

Тройното изнудване се отнася до тристранен подход, при който ексфилтрирането и криптирането на данни се съчетава с разпределени атаки за отказ на услуга (DDoS) срещу целите в опит да се наруши дейността им и да бъдат принудени да платят откупа.

Според Cyble услугата DDoS се предлага срещу допълнителна такса от 500 000 USD, като операторите налагат условия, които забраняват на филиалите да нанасят удари по структури, разположени в страните от Общността на независимите държави (ОНД).