One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8557212 |
| Date de publication | 2024-08-13 19:36:37 (vue: 2024-08-13 20:18:11) |
| Titre | FBI: Ransomware noire a fait plus de 500 millions de dollars en exigences de rançon FBI: BlackSuit ransomware made over $500 million in ransom demands |
| Texte | ## Instantané Les chercheurs de CISA et du FBI ont confirmé que le Royal Ransomware était rebaptisé à [BlackSuit] (https://security.microsoft.com/intel-profiles/C369785022e6b4726c23f206e47b5253b45f3bff8d17f68a0461f8398) et landing ombres millions de victimes depuis son émergence il y a plus de deux ans. ## Description Alors que les ransomwares ont initialement utilisé d'autres gangs \\ 'encryptors, ils ont déployé leur propre encryptor Zeon et marqué au Royal Ransomware en septembre 2022. Après [attaquer la ville de Dallas, Texas, en juin 2023] (https: //www.bleepingCompuler.Com / News / Security / Dallas-Says-Royal-Ransomware-Freched-its-Network-Using-Stolen-Account /), l'opération Royal Ransomware a commencé à tester un nouvel encrypteur appelé BlackSuit au milieu de rumeurs de rebranding.Depuis lors, ils fonctionnent sous le nom de la combinaison noire, et les attaques de ransomwares royales se sont complètement arrêtées.Le gang noire est lié à des attaques contre plus de 350 organisations depuis septembre 2022 et au moins 275 millions de dollars de demandes de rançon.Le FBI et la CISA ont partagé des indicateurs de compromis et une liste de tactiques, techniques et procédures (TTPS) pour aider les défenseurs à bloquer les tentatives du gang \\ de déployer des ransomwares sur leurs réseaux. Le 7 août 2024, le [CISA Advisory] (https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) des informations mises à jour sur le ransomware de la combinaison noire, qui utilise des tactiques similaires à Royal avec des capacités améliorées.Les acteurs de la combinaison noire exfiltrent les données et menacent de publier les données si les demandes de rançon, allant de 1 million à 10 millions de dollars, ne sont pas remplies.L'accès initial est généralement obtenu par des e-mails de phishing (répertoriés comme le vecteur le plus réussi pour l'accès initial), avec des vecteurs supplémentaires, y compris le compromis de protocole de bureau à distance (RDP), l'exploitation des applications accessibles au public et les courtiers d'accès initiaux.Une fois à l'intérieur d'un réseau, les acteurs menacés désactivent les logiciels antivirus, exfiltrent les données, déploient des ransomwares et cryptent le système compromis.Pour la persistance et la commande et le contrôle, les acteurs noirs utilisent des outils tels que Chisel, Secure Shell (SSH) Client, Putty, OpenSSH, Mobaxter, [SystemBC] (https: //security.microsoft.com/intel-profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbbd611dfe9db652c9adf97292b), et [gootloader] (htttps://security.microsoft.com/intel-profiles/6b880aaaa.Microsoft.com/intel-profiles/6b880aaaa.Microsoft.com/intel-profiles/6b880aaaa. DD9132708F02CB383688C12A6B2B1986CF92CA87B4).La découverte et l'exfiltration impliquent des outils comme SharpShares, Softperfect Networx, [Mimikatz] (https://security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4 Clone] (https: //security.microsoft.com/intel-profiles/3c39892a30f3909119605d9f7810d693e5099aae03abbd80f34d6c70d42d165), et [Brute Ratel] (https:///Secure D2DEAD66C1B277C92AC586D9791E60B3B284EF303439A18D91786).Pendant le chiffrement, ils utilisent le gestionnaire de redémarrage de Windows pour vérifier si les fichiers sont utilisés, le service de copie d'ombre de volume Windows pour supprimer des copies de l'ombre pour empêcher la récupération et déployer des fichiers batch.Les fichiers malveillants se trouvent souvent dans des répertoires comme C: \ Temp, C: \ Users \ AppData \ Roaming, C: \ Users , C: \ ProgramData et Root C: \. L'avis conjoint a été émis pour la première fois après que l'équipe de sécurité du ministère de la Santé et des Services sociaux (HHS) ait révélé en décembre 2022 que l'opération de ransomware était à l'origine de plusieurs attaques ciblant les organisations de soins de santé à travers les États-Unis.Plus récemment, des sources de Bleeping Computer ont identifié le gan |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #stopransomware: $10 $275 $500 **© 000 061a 2022 2023 2024 2024** 2147069067 2147071946 350 365/security/defender 496d 500 abbreviatedmktgpage access accessed account/ across action actors ad&threatid= ad3c additional advanced advice advisories/aa23 advisory after against age ago alert alerts all allow altogether america amid antivirus any appdata applications are artifacts assets as attack attack/ attacker attackers attacking attacks attempts augment august automated based batch been began behavior:win32/blacksuit behind blacksuit bleeping bleepingcomputer block branded breach breached breaches brokers brute c6a795a33c27/analystreport called can capabilities car card caused cdk changes check chisel cisa city classes client cloud com/en com/intel com/microsoft com/news/security/cdk com/news/security/dallas com/news/security/fbi com/security/business/cloud com/threatanalytics3/05658b6c command common components compromise compromised computer confirmed content control copies copy copyright cover credential criterion customers dallas dashboard data dc62 dealerships december defender defenders delete delivered demanded demands demands/ department deploy deployed deployment description desktop detect detected detection detections/hunting detects developing directories disable discovery disrupted distribution does during edr effective emails emergence employs enable encrypt encryption encryptor encryptors encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/prevent entire equivalent even events/cybersecurity evolving exchange executable exfiltrate exfiltration exploitation external facing fbi fbi: files first following found from fully gained gang gangs global gootloader gov/news harden hardening has have health healthcare help hhs holistic https://learn https://security https://www human hygiene identified identify immediate impact improved including indicators information initial initially inside interfaces internet investigation investigations involve issued its joint june learndoc learndoc#block learndoc#use learning least like linked list listed machine made majority malicious malware: management manager massive meet met microsoft might million mimikatz mitigations mobaxterm mode monitored most multiple name name=behavior:win32/blacksuit name=ransom:win32/blacksuit network networks networx new nirsoft non north not ocid=magicti often once on openssh operating operation operations organizations other outage over overview own part passive perimeter permission persistence phishing post posture prevalence prevent procedures product profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb profiles/3c39892a30f3909119605d9f7810d693e502099ae03abbd80f34d6c70d42d165 profiles/530f5cd2221c4bfcf67ea158a1e674ec5a210dbbd611dfe9db652c9adf97292b profiles/6b880aa2bfeca7d44701c4dd9132708f02cb383688c12a6b2b1986cf92ca87b4 profiles/a09b8112881d2dead66c1b277c92ac586d9791e60b3b284ef303439a18d91786 profiles/c369785022e6b47726c23f206e47b5253b45f3bff8d17f68a0461ef8398ccda9 programdata prohibited protection protections protocol provide public publish putty pz&threatid= queries ranging ransom ransom:win32/blacksuit ransomware rapidly ratel rclone rdp read rebranded rebranding recently recommendations recommended recommends recovery reduce reducing reduction reference references remediate remediation remote reproduction require researchers reserved resolve response restart revealed rights roaming root royal rules rumors running run says scanning scenes secure security security/microsoft september servers service services settings shadow shared sharpshares shell sight significantly similar since site snapshot softperfect software sources ssh states status steps stolen stopped stopping successful such summary surface surfaces sweeping system systembc systems ta2 tactics take tamper targeting team techniques temp testing texas then thereof threat threaten threats through tools trusted ttps turn two typically under united unknown unless updated updates us/wdsi/threats/malw |
| Tags | Ransomware Malware Tool Threat Medical |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.