Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 378 Tage inaktiv Ransomware-Gruppe · Profil

BlackSuit

184Opfer gesamt
0Opfer (30 Tage)
12.06.2023Erstes Auftreten
InaktivStatus

Überblick

Bei BlackSuit handelt es sich um eine Ransomware, die nach Analysen von Trend Micro erhebliche Überschneidungen im Programmcode mit der Royal-Ransomware aufweist. Diese Code-Verwandtschaft legt eine enge Verbindung beider Familien nahe. Über die durch Trend Micro festgestellte Codeähnlichkeit zur Royal-Ransomware hinaus liefert die Quelle keine weitergehende allgemeine Charakterisierung der Gruppe.

Taktiken & Vorgehen

Den Erstzugang erlangen die Akteure über kompromittierte RDP-Zugänge, über eine Reihe von Fernwartungslösungen wie AnyDesk, Atera, LogMeIn und MobaXterm, durch Ausnutzung öffentlich erreichbarer Anwendungen sowie über Phishing mit schädlichen PDF-Anhängen und Malvertising-Links. Für Anmeldedaten und Rechteausweitung kommen Mimikatz, Rubeus sowie die NirSoft-Werkzeuge zum Einsatz; gültige Administrator- und Domänenkonten ermöglichen den Zugriff auf den Domänencontroller und das Anlegen neuer Konten. Zur Erkundung dienen AdFind, SharpHound, SharpShares, Advanced IP Scanner und SoftPerfect NetScan. Cobalt Strike und Brute Ratel C4 dienen der Steuerung, wobei über Chisel, Cloudflared und einen verschlüsselten SSH-Tunnel kommuniziert wird. Daten werden mit RClone und 7-Zip abgezogen. Zur Tarnung werden Ereignisprotokolle gelöscht, Schattenkopien entfernt, Gruppenrichtlinien manipuliert und Virenschutzlösungen deaktiviert.

Schutzmaßnahmen

Fernzugänge per RDP und eingesetzte Fernwartungssoftware sollten über VPN und Mehr-Faktor-Authentisierung abgesichert, eingeschränkt und überwacht werden. Öffentlich erreichbare Anwendungen sollten gehärtet und zeitnah aktualisiert werden. Gegen Phishing sollten eingehende E-Mails samt PDF-Anhängen und Links gefiltert und geprüft werden. Da gültige Administrator- und Domänenkonten sowie Mimikatz und Rubeus genutzt werden, sollten privilegierte Konten und der Domänencontroller besonders geschützt und der Zugriff auf Anmeldedaten überwacht werden. Das Löschen von Ereignisprotokollen sollte durch zentrale, manipulationssichere Protokollierung erschwert werden. Änderungen an Gruppenrichtlinien und Eingriffe in den Virenschutz sollten überwacht werden, ebenso ausgehender Datenverkehr zur Erkennung von Abflüssen über RClone.

Chronologie

  1. 12.06.2023 Erste bekannte Aktivität
  2. 02.06.2025 Zuletzt aktiv

Erwähnt in