# Blacksuit Campaign 2023 > [!high] > O **BlackSuit** emergiu em maio de 2023 como rebranding do **Royal Ransomware** (linhagem Conti), operado pelo grupo **Ignoble Scorpius**. Com mais de 93 vítimas confirmadas, o caso mais notório foi o ataque ao **CDK Global** (junho 2024) - fornecedor de software para 15.000 concessionárias de automóveis nos EUA - que resultou em pagamento de US$ 25 milhões e perda estimada de US$ 1 bilhão em impacto de negócio. ## Visão Geral O BlackSuit é a evolução do Royal Ransomware, que por sua vez surgiu das cinzas da operação Conti após sua dissolução em 2022. A linhagem Conti → Royal → BlackSuit representa uma continuidade operacional de um dos grupos de ransomware mais prolíficos e técnicamente sofisticados da história recente. O grupo é rastreado como **Ignoble Scorpius** pela CrowdStrike e mantém o modelo clássico de RaaS com dupla extorsão. O payload do BlackSuit é construído usando criptografia OpenSSL AES, com versões distintas para Windows (PE executável) e Linux/VMware ESXi (ELF binary). Arquivos criptografados recebem a extensão `.blacksuit`. Assim como o Royal Ransomware, o BlackSuit utiliza técnica de criptografia parcial de arquivos grandes para acelerar o processo - criptografando porcentagens configuráveis do conteúdo de cada arquivo em vez do arquivo completo, mantendo uma velocidade de ataque muito superior a competidores. O ataque ao CDK Global em junho de 2024 foi o incidente mais emblemático da campanha. A CDK Global fornece software de gestão para concessionárias de automóveis - ERP, CRM, financiamento, inventário - para mais de 15.000 concessionárias nos EUA e Canadá. O ataque paralisou operações de concessionárias por semanas, com vendas retornando ao papel, e a CDK Global pagou aproximadamente US$ 25 milhões de resgate em Bitcoin. O impacto total no setor automotivo foi estimado em mais de US$ 1 bilhão. Inicialmente atribuído a vetores de phishing, pesquisas revelaram que o BlackSuit também explora RDP exposto e credenciais VPN roubadas como métodos de acesso inicial - métodologia herdada do Royal e Conti. O grupo utiliza [[s0154-cobalt-strike]] extensivamente para movimentação lateral e manutenção de acesso durante o período de reconhecimento antes de implantar o ransomware. ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial<br/>Phishing / RDP exposto<br/>Credenciais VPN roubadas"] --> B["🔑 Persistência Inicial<br/>Cobalt Strike beacon<br/>Credenciais de domínio obtidas"] B --> C["🔍 Reconhecimento Prolongado<br/>Mapeamento de rede<br/>Identificação de backups e dados sensíveis"] C --> D["📦 Exfiltração de Dados<br/>Coleta para dupla extorsão<br/>Via C2 BlackSuit"] D --> E["💥 Deploy BlackSuit<br/>OpenSSL AES encryption<br/>Windows + Linux/ESXi payloads"] E --> F["🔒 Criptografia Parcial<br/>Extensão .blacksuit<br/>Velocidade otimizada por arquivo parcial"] F --> G["💰 Dupla Extorsão<br/>Site de vazamento BlackSuit<br/>Negociação de resgate"] ``` **Legenda:** [[T1566-001-spearphishing-attachment|T1566.001]] · [[T1486-data-encrypted-for-impact|T1486]] · [[T1490-inhibit-system-recovery|T1490]] ## Cronologia ```mermaid timeline title BlackSuit - Linhagem e Cronologia 2021-2022 : Conti ativo - maior RaaS da história Jun 2022 : Conti encerra operações após leaks internos : Membros se fragmentam em múltiplos grupos Set 2022 : Royal Ransomware surge - ex-membros Conti : Primeiro predecessor do BlackSuit Mai 2023 : BlackSuit emerge como rebranding do Royal : Primeiras vítimas do BlackSuit confirmadas 2023-2024 : 93+ vítimas documentadas : Setores: manufatura, saúde, governo Jun 2024 : Ataque ao CDK Global : 15.000 concessionárias nos EUA afetadas : US$ 25M de resgate pago : US$ 1B+ em impacto de negócio estimado Jul 2024 : FBI/CISA emitem alerta conjunto sobre BlackSuit : Confirmação de Royal → BlackSuit ``` ## TTPs Principais | Tática | Técnica | ID | Detalhe | |--------|---------|----|---------| | Acesso Inicial | Spear-phishing | [[T1566-001-spearphishing-attachment\|T1566.001]] | Documentos maliciosos | | Acesso Inicial | Contas Válidas | [[T1078-valid-accounts\|T1078]] | Credenciais roubadas/compradas | | Acesso Inicial | Serviços Externos | [[T1133-external-remote-services\|T1133]] | RDP, VPN expostos | | Exfiltração | Canal C2 | [[T1041-exfiltration-over-c2-channel\|T1041]] | Dados para site BlackSuit | | Impacto | Dados Criptografados | [[T1486-data-encrypted-for-impact\|T1486]] | OpenSSL AES, ext .blacksuit | | Impacto | Interrupção de Serviços | [[T1489-service-stop\|T1489]] | Antivírus e backup interrompidos | | Impacto | Inibição de Recuperação | [[T1490-inhibit-system-recovery\|T1490]] | Shadow copies e backups destruídos | ## Caso CDK Global - Análise O ataque ao CDK Global em junho de 2024 é considerado o ataque de supply chain via ransomware mais impactante do [[technology|setor automotivo]] americano: - **CDK Global**: provedor de software SaaS para gestão de concessionárias - **Escopo**: 15.000+ concessionárias nos EUA e Canadá afetadas - **Duração da interrupção**: 2+ semanas sem sistemas operacionais - **Pagamento**: US$ 25 milhões em Bitcoin ao BlackSuit - **Impacto estimado**: US$ 1 bilhão em perdas no setor (estimativa Anderson Economic Group) - **Operações manuais**: concessionárias retornaram ao papel por semanas ## Relevância LATAM O [[blacksuit-ransomware]] (Ignoble Scorpius) apresenta 93+ vítimas documentadas em múltiplos países e está expandindo seu alcance. O Brasil, como maior economia da América Latina, é alvo natural. Setores prioritários do grupo - [[manufacturing|manufatura]], [[healthcare|saúde]], [[government|governo]] e [[technology|tecnologia]] - são todos setores de alta presença no Brasil. A linhagem Conti→Royal→BlackSuit demonstra sofisticação operacional elevada e capacidade de adaptação que outros grupos de ransomware oportunistas não possuem. ## Detecção e Defesa - Monitorar e proteger RDP e VPN expostos à internet com MFA obrigatório - Detectar beacon patterns do Cobalt Strike (conexões HTTP periódicas) - Alertar sobre uso de ferramentas de enumeração AD (`SharpHound`, `BloodHound`) - Monitorar criação/modificação de contas de serviço incomuns - Detectar deleção de shadow copies e backups via `vssadmin.exe` - Monitorar volumes anômalos de leitura de arquivos em servidores de arquivos (precede criptografia) - Manter backups imutáveis offline - grupos da linhagem Conti são especialistas em destruir backups online - Consultar [[M1030-network-segmentation|M1030]], [[M1032-multi-factor-authentication|M1032]] e [[M1053-data-backup|M1053]] para controles prioritários ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) CISA - BlackSuit (Royal) Ransomware Advisory (AA23-061A) (2023) - [2](https://www.bleepingcomputer.com/news/security/cdk-global-pays-25-million-ransom-to-blacksuit-ransomware-gang/) BleepingComputer - CDK Global Pays $25 Million Ransom to BlackSuit (2024) - [3](https://attack.mitre.org/software/S1089/) MITRE ATT&CK - BlackSuit (S1089) - [4](https://www.crowdstrike.com/blog/ecrime-ecosystem/ignoble-scorpius-and-blacksuit-ransomware/) CrowdStrike - Ignoble Scorpius and BlackSuit Ransomware (2024) - [5](https://www.sentinelone.com/labs/blacksuit-ransomware-royal-successor/) SentinelOne - BlackSuit: Royal's Successor (2023)