La banda de cibercriminales que se dedicaba al ransomware y que antes operaba como Royal ha cambiado su nombre y se ha relanzado como BlackSuit, y está atacando activamente a organizaciones de múltiples sectores con importantes demandas de extorsión, según una alerta de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) en el marco de su campaña en curso #StopRansomware. Probablemente descendiente de la extinta operación Conti y con posibles vínculos con otras bandas como Black Basta y Hive, Royal estuvo en acción durante un período de aproximadamente nueve meses entre el otoño de 2022 y el verano de 2023, y en ese período llevó a cabo una serie de ataques dañinos. Su resurgimiento 12 meses después como BlackSuit ha sido rastreado tanto por la CISA como por el FBI, que han determinado a partir de varios ciberataques conocidos que su locker de ransomware comparte importantes similitudes de codificación con el de Royal, y también demuestra «capacidades mejoradas». Entre ellos, según la CISA: “BlackSuit utiliza un enfoque de cifrado parcial único que permite al actor de la amenaza elegir un porcentaje específico de datos en un archivo para cifrar”. De esta manera, puede reducir el porcentaje de cifrado para archivos más grandes, lo que ayuda a la banda a evadir la detección y mejora significativamente la velocidad a la que el propio ransomware puede operar. Al igual que con otras bandas, los correos electrónicos de phishing se utilizan con mayor frecuencia para obtener acceso inicial, aunque también se sabe que BlackSuit utiliza el Protocolo de escritorio remoto (RDP), vulnerabilidades en aplicaciones web públicas y los servicios de intermediarios de acceso inicial (IAB). Después de obtener acceso, sus agentes también desactivan el software antivirus de las víctimas antes de ponerse a trabajar. BlackSuit lleva a cabo actividades de exfiltración de datos y extorsiona a su víctima antes de cifrar sus datos, que luego se publican en un sitio de filtración de la web oscura si no se recibe el pago. La CISA dijo que la banda ha exigido colectivamente más de 500 millones de dólares (393,4 millones de libras esterlinas) en pagos, con rescates típicos que van desde 1 millón de dólares en el extremo inferior de la escala hasta alrededor de 10 millones de dólares, aunque se sabe que se ha hecho al menos una demanda de 60 millones de dólares. La banda es conocida por no hacer una demanda de rescate en el punto de su ataque inicial; las víctimas deben interactuar directamente con sus negociadores a través de una URL de Tor Onion, que se entrega después del cifrado de datos. También se sabe que BlackSuit ha intentado usar llamadas telefónicas y correos electrónicos para presionar a sus víctimas. Martin Kraemer, defensor de la concienciación sobre seguridad en KnowBe4, dijo: «El grupo responsable del ransomware BlackSuit es conocido por usar tácticas agresivas para extorsionar dinero. No tienen miedo de amenazar a las empresas con exponer las irregularidades corporativas, intimidar a los familiares de los empleados y líderes, o chantajear a los empleados revelando actividades ilegales. «Estas tácticas están diseñadas para mantener una empresa bajo su control. Cuanto más daño causen a la reputación de una empresa, más probabilidades hay de que la víctima pague. Ésta es su estrategia. “Estamos cerca de un escenario en el que los grupos de ransomware trabajan en estrecha colaboración con proveedores de servicios de desinformación. En la red oscura, se pueden organizar campañas para destruir la reputación personal de alguien o manipular los precios de las acciones. El coste de dichas campañas es mucho menor en comparación con un posible pago de rescate. “Las organizaciones deben estar preparadas. Los equipos de gestión de crisis y respuesta a incidentes deben colaborar estrechamente con el departamento de relaciones públicas para garantizar el nivel adecuado de transparencia y limitar el daño a la confianza de los empleados y los consumidores. Dado que la desinformación dirigida se está convirtiendo en un factor, los departamentos de relaciones públicas también deben estar preparados para anticipar y gestionar las narrativas que podrían dañar significativamente a la empresa. Ya sea una supuesta negligencia o mala conducta, los departamentos de relaciones públicas deben tener respuestas preparadas”. Más información sobre BlackSuit, incluidos los indicadores de compromiso (IoC) actualizados, está disponible en CISA.