Ransomware Royal heißt jetzt Blacksuit und ergaunert 500 Millionen US-Dollar

Die Hinterleute der Ransomware Royal haben ihren Erpressungstrojaner in Blacksuit umbenannt und attackieren weiterhin global kritische Infrastrukturen und Unternehmen. Um Attacken vorzubeugen, sollten Admins die aktuellen Hinweise von US-Behörden auf Angriffsszenarien und Abwehrtaktiken studieren.

In der Regel benennen Cyberkriminelle ihre Ransomware um, wenn ihnen Ermittler zu dicht auf den Versen sind.

Aktuelle Angriffsmuster

In einem aktuellen Bericht führen das Federal Bureau of Investigation (FBI) und die Cybersecurity & Infrastructure Security Agency (CISA) Empfehlungen aus, um Attacken zu verhindern und bereits erfolgte Kompromittierungen zu erkennen. Dafür zeigen sie unter anderem Tactics, Techniques und Procedures (TTPs) und Indicatiors of Compromise (IOC) auf.

Als IOC listen sie unter anderem die aktuelle Erpresserbotschaft, Domains und IP-Adressen auf. Nach letzterem können Admins in Logs Ausschau halten.

Die Behörden geben an, dass die Angreifer Attacken in der Regel über Phishing-Mails einleiten. Darin versuchen sie Opfer dazu zu bringen, präparierte PDF-Dateien zu öffnen, um damit den Weg für ihren Schadcode zu ebnen. Es gebe neuerdings aber auch Fälle, in denen die Angreifer an kompromittierten RDP-Verbindungen ansetzen.

Millionengeschäft

Blacksuit verschlüsselt wie sein Vorgänger Dateien und kopiert interne Geschäftsdaten. Als weiteres Druckmittel zum Zahlen des Lösegelds drohen sie mit der Veröffentlichung der Daten.

Das FBI gibt an, dass die Cyberkriminellen mittlerweile über 500 Millionen US-Dollar erpresst haben. Das höchste bislang gezahlte Lösegeld belaufe sich auf 60 Millionen US-Dollar. Die Kriminellen sollen Verhandlungen über das Lösegeld zulassen und dafür sogar einen Supportchat bieten. Die Kriminellen machen selbst vor Krankenhäusern nicht Halt.

(des)