Fins ara, la varietat de programari de segrest coneguda com a BlackSuit ha exigit fins a 500 milions de dòlars en rescats, amb una demanda de rescat individual que arriba als 60 milions de dòlars, segons un avís actualitzat de l’Agència de Ciberseguretat i Seguretat de la Infraestructura dels Estats Units (CISA) i l’Oficina Federal d’Investigacions (FBI).

«Els actors de BlackSuit han mostrat la voluntat de negociar les quantitats de pagament», va dir les agències estatals. «Les quantitats de rescat no formen part de la nota de rescat inicial, però requereixen una interacció directa amb l’actor de l’amenaça mitjançant un URL .onion (accessible a través del navegador Tor) proporcionat després del xifratge».

Els atacs amb programari de segrest s’han dirigit a diversos sectors d’infraestructures crítiques, incloses instal·lacions comercials, sanitat i salut pública, instal·lacions governamentals i fabricació crítica.

Una evolució del Royal ransomware, aprofita l’accés inicial obtingut mitjançant correus electrònics de pesca per desarmar el programari antivirus i exfiltrar dades delicades abans de desplegar finalment el programari de segrest i xifrar els sistemes.

Unes altres vies d’infecció habituals inclouen l’ús del protocol d’escriptori remot (RDP), l’explotació d’aplicacions vulnerables orientades a Internet i l’accés comprat mitjançant intermediaris d’accés inicial (IAB).

Se sap que els actors de BlackSuit utilitzen programari i eines legítimes de supervisió i gestió remota (RMM) com ara els programaris maliociosos SystemBC i GootLoader per mantenir la persistència a les xarxes de les víctimes.

«S’ha observat que els actors de BlackSuit utilitzen SharpShares i SoftPerfect NetWorx per llistar les xarxes de víctimes», van assenyalar les agències. «Als sistemes de les víctimes també s’han trobat l’eina de robatori de credencials disponible públicament, Mimikatz, i les eines de recollida de contrasenyes de Nirsoft. Eines com ara PowerTool i GMER s’utilitzen sovint per trencar els processos del sistema».

La CISA i l’FBI han advertit d’un repunt en els casos en què les víctimes reben comunicacions telefòniques o per correu electrònic d’actors de BlackSuit sobre el compromís i el rescat, una tàctica que les bandes de programari de segrest estan adoptant cada cop més per augmentar la pressió.

«En els darrers anys, els actors de les amenaces semblen estar cada cop més interessats a no només amenaçar directament les organitzacions, sinó també a víctimes secundàries», va afirmar l’empresa de ciberseguretat Sophos en un informe publicat aquesta setmana. «Per exemple, tal com es va informar el gener de 2024, els atacants van amenaçar de revelar els pacients d’un hospital oncològic i han enviat missatges de text amenaçadors al cònjuge d’un conseller delegat».

I no només això, sinó que els actors de l’amenaça també han afirmat que han avaluat les dades robades i han trobat proves d’activitat il·legal, incompliment de la normativa i discrepàncies financeres, fins i tot han arribat a afirmar que un empleat d’una organització compromesa havia estat buscant material d’abús sexual infantil i han publicat l’historial del navegador del seu web.

Aquests mètodes agressius no només es poden utilitzar com a palanquejament addicional per coaccionar els seus objectius perquè paguin, sinó que també causen danys a la reputació criticant-los com a poc ètics o negligents.

El desenvolupament arriba enmig de l’aparició de noves famílies de programari de segrest com ara Linx, OceanSpy, Radar, Zilla (una variant del programari de segrest del Crysis/Dharma) i Zola (una variant del programari de segrest Proton) en estat salvatge, tot i que els grups de programari de segrest existents estan evolucionant constantment el seu modus operandi incorporant noves eines al seu arsenal.

Un exemple d’aquest cas és Hunters International, que s’ha observat que fa servir un programari maliciós nou basat en C# anomenat SharpRhino com a vector d’infecció inicial i un troià d’accés remot (RAT). Una variant de la família de programari maliciós ThunderShell s’ofereix a través d’un domini typosquatting que suplanta la popular eina d’administració de xarxa Angry IP Scanner.

Val la pena assenyalar que les campanyes de malvertising han estat actuant i lliurant el programari maliciós fins al gener de 2024, per eSentire. El RAT de codi obert també s’anomena Parcel RAT i SMOKEDHAM.

En Michael Forret, investigador de Quorum Cyber també afirma «En executar-se, estableix la persistència i proporciona a l’atacant accés remot al dispositiu, que després s’utilitza per fer progressar l’atac». I afegeix «Mitjançant l’ús de tècniques inèdites, el programari maliciós és capaç d’obtenir un alt nivell de permís al dispositiu per assegurar-se que l’atacant sigui capaç d’afavorir la seva orientació amb una interrupció mínima».

Es considera que Hunters International és un canvi de marca del grup de programari de segrest desaparegut Rusc. Detectat per primera vegada l’octubre del 2023, ha reivindicat 134 atacs en els set primers mesos del 2024.