BlackSuit
BlackSuit 是一种加密文件的恶意软件,使其所有者无法访问它们。它旨在攻击 Windows 和 Linux 系统。除了加密数据,BlackSuit 还会更改桌面背景并创建名为“README.BlackSuit.txt”的赎金票据。此外,它还更改了文件名并将“.blacksuit”扩展名添加到原始文件名中。 该病毒主要目标为有价值的相关系统,攻击者在获取内网权限后会不断进行横向,最终选定有价值的服务器进行加密。
首次出现时间:
2023年1月
攻击方法:
- 攻击者主要通过钓鱼邮件或第三方框架(例如 Empire、Metasploit、Cobalt Strike)进行传递
- 攻击者利用了各种工具,包括 Sharphound、Rubeus、SystemBC、Get-DataInfo.ps1、Cobalt Strike 和 ADFind,以及内置的系统工具。
- 远程控制流量通过 CloudFlare 代理以隐藏其 Cobalt Strike 服务器。
- 在边界突破 15 天后,攻击者通过 SMB 将BlackSuit 勒索软件复制到管理员共享并通过 RDP 会话执行部署。
勒索地址:
平台一、自建暗网网站
登录页:
地址:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd.onion/?id= 界面:
解释:需要输入ID才可以进入聊天室进行谈判
泄漏数据页:
地址:weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd.onion
界面:
解释:该暗网地址为黑客数据泄漏页
捕获分析:
暂无信息
加密算法:
AES
加密钱包:
暂无信息
受害者勒索金额:
暂无信息
谈判记录:
暂无信息
近期攻击案例:
| 受害公司 | 公司官网 | 截图 |
|---|---|---|
| JTEKT NORTH AMERICA | https://jtekt-na.com/ | |
| KCI 航空公司 | https://kciaviation.com/ |
变种演化:
暂无信息
IOC 信息
暂无信息
