# BlackSuit > [!warning] **BlackSuit** é um grupo de ameaça atribuído a **Russia** ativo desde **2022**. ## Visão Geral **BlackSuit** e a iteracao atual de uma das organizacoes de ransomware mais persistentes e financeiramente danosas da historia recente, com linhagem direta do **Conti** através de **Zeon** e **Royal**. Emergiu com nome proprio em maio/junho de 2023, quando o Royal ransomware comecou a testar um novo encryptor e eventualmente abandonou o nome anterior após o ataque a City of Dallas. O grupo acumulou mais de **US$500 milhões em demandas totais de resgaté**, com individual demands ranging from US$1 milhao até US$60 milhões. Ao contrario da maioria dos grupos RaaS, evidências sugerem que o BlackSuit opera sem afiliados públicos - um modelo semi-fechado similar ao Black Basta e ao Play. A criptografia usa **criptografia parcial intermitente** - apenas porcoes dos arquivos sao criptografadas, permitindo maior velocidade e menor probabilidade de detecção por sistemas de monitoramento comportamental. A nota de resgaté e depositada como `README.BlackSuit.txt`. ## Timeline - Conti → Zeon → Royal → BlackSuit ```mermaid timeline title BlackSuit - Linhagem Conti Jun 2022 : Dissolução do Conti : Membros migram para Zeon/Royal Set 2022 : Royal Ransomware emerge oficialmente : Primeiros ataques documentados Mai 2023 : Royal testa encryptor BlackSuit : Ataque a City of Dallas Jun 2023 : Royal abandona nome - rebrand para BlackSuit : Encryptor BlackSuit ativo Nov 2023 : FBI/CISA advisory conjunto : 350+ ataques e US$ 275M em demandas Jun 2024 : CDK Global comprometida : 15.000 concessionarias afetadas Jun 2024 : CDK paga US$ 25M em Bitcoin : Terceiro maior pagamento de ransomware Jul 2025 : Operação Checkmaté - DOJ + 16 agencias : Servidores e domínios apreendidos Jul 2025 : Possível rebrand para Chaos ransomware : Cisco Talos identifica sobreposicao de TTPs ``` > [!danger] CDK Global - US$25 Milhoes e 15.000 Concessionarias Paralisadas > Em junho de 2024, o BlackSuit comprometeu a **CDK Global**, provedora de software para aproximadamente **15.000 concessionarias de veiculos** na América do Norte. O ataque causou disrupcoes massivas: sistemas de vendas, CRM, gestao de estoque e back-office ficaram indisponiveis por semanas. A CDK Global pagou **US$25 milhões em Bitcoin** - o terceiro maior pagamento de ransomware já registrado. As perdas totais da industria automotiva foram estimadas em **US$1 bilhao** em disrupcoes operacionais. > [!info] Linhagem Conti - 8 Anos, 6 Nomes > O BlackSuit representa a mais recente iteracao de uma organização criminosa que atuou por aproximadamente 8 anos sob 6 nomes diferentes: **Ryuk → Conti → Zeon → Royal → BlackSuit → possívelmente Chaos** (2025). O core team de operadores russos/leste-europeus manteve continuidade técnica e operacional através de cada rebrand, adaptando-se a pressao de law enforcement enquanto preservava as capacidades técnicas herdadas do Conti. > [!warning] Operação Checkmaté - Disrupcao em Julho 2025 > Em 24 de julho de 2025, o **DOJ americano** coordenou a **Operação Checkmaté** com mais 16 agencias de law enforcement de 9 paises (incluindo UK, Ucrania, Latvia, Europol e Bitdefender). Os sites de leak e painis de negociacao do BlackSuit foram apreendidos. Porém, **nenhum membro foi preso**, e a Cisco Talos identificou o grupo **Chaos ransomware** como possível rebrand com TTPs identicos, incluindo comandos de criptografia, tema da nota de resgaté e uso de LOLbins + RMM tools. ## Attack Flow - Dupla Extorsao Herdada do Conti ```mermaid graph TB A["🎣 Acesso Inicial<br/>Phishing / RDP brute-force<br/>Credenciais válidas compradas"] --> B["🔧 C2 e Reconhecimento<br/>Cobalt Strike beacons<br/>Rubeus - Kerberoasting"] B --> C["↔️ Movimento Lateral<br/>PsExec / SMB Admin Shares<br/>RDP com contas domain admin"] C --> D["🛡️ Evasão de Defesas<br/>LOLbins + RMM tools<br/>Desabilita ferramentas AV"] D --> E["📤 Exfiltração<br/>7Zip / WinSCP / FTP<br/>Dados exfiltrados antes de criptografar"] E --> F["🔐 BlackSuit Ransomware<br/>Criptografia parcial intermitente<br/>Nota README.BlackSuit.txt"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef c2 fill:#1a5276,color:#fff,stroke:#154360 classDef lateral fill:#e67e22,color:#fff,stroke:#d35400 classDef evasion fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B c2 class C lateral class D evasion class E exfil class F ransom ``` ## Campanhas e Vitimas de Destaque ### CDK Global (Junho 2024) O maior impacto documentado do BlackSuit. A CDK Global serve como sistema de gestao central para 15.000 concessionarias automotivas na América do Norte. O ataque paralilsou operações de vendas, financiamento, gestao de estoque e servicos. Após negociacoes, a CDK pagou US$25 milhões em Bitcoin - confirmado por rastreamento de blockchain pela firma TRM Labs. ### Kadokawa / Niconico (Junho 2024) O BlackSuit comprometeu a **Kadokawa Corporation** e sua subsidiaria **Niconico** (plataforma jáponesa de video-streaming). O ataque causou vazamento de dados pessoais de **254.241 individuos** incluindo dados do Kadokawa Dwango Educational Institute. Os atacantes alegaram ter roubado 1,5 TB de dados. ### Octapharma Plasma (Abril 2024) Ataque contra a **Octapharma Plasma**, operadora de mais de **160 centros de doacao de plasma sanguineo** nos EUA. O BlackSuit explorou sistemas ESXi com a variante Linux do ransomware para comprometer a infraestrutura virtual. Disrupcoes afetaram coleta de plasma em todo o territorio americano. ### City of Dallas (Maio 2023) Um dos ultimos grandes ataques sob o nome **Royal**, o ataque a Dallas causou interrupcao de servicos municipais e comprometeu mais de 1 TB de dados. O ataque coincidiu com o período de teste do encryptor BlackSuit. ## Arsenal e Ferramentas - **BlackSuit Ransomware** - Encryptor customizado com criptografia parcial intermitente, variantes Windows e Linux/ESXi - **Cobalt Strike** - Framework C2 primario - **Rubeus** - Kerberoasting para coleta de hashes de credenciais - **Mimikatz** - Dumping de credenciais LSASS - **PsExec** - Execução remota e movimento lateral - **7Zip / WinSCP / FTP** - Exfiltração de dados - **LOLbins** - Living-off-the-land para evasão de detecção - **RMM tools (AnyDesk, etc.)** - Persistência via software de acesso remoto legitimo ## Técnicas (TTPs) - **T1566** - Phishing como vetor inicial primario - **T1078** - Credenciais válidas compradas ou extraidas via brute-force RDP - **T1558.003** - Kerberoasting via Rubeus para credenciais adicionais - **T1021.001** - RDP para movimento lateral com contas domain admin - **T1021.002** - SMB/Windows Admin Shares para execução remota - **T1490** - Delecao de shadow copies para inibir recuperacao - **T1486** - Criptografia parcial intermitente (extensao .blacksuit) - **T1562.001** - Desabilitacao de ferramentas de segurança via LOLbins **Técnicas MITRE referênciadas:** [[t1566-phishing|T1566]] · [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] ## Relevância LATAM O BlackSuit tem presenca documentada no Brasil e no Jápao como alvos fora do eixo EUA-Europa. O modelo operacional apresenta riscos específicos para a regiao: 1. **Governos municipais** - Ataques a City of Dallas e outras municipalidades americanas mostram padrao replicavel contra prefeituras brasileiras 2. **Setor automotivo** - O caso CDK Global e altamente relevante para redes de concessionarias brasileiras (Volkswagen, Toyota, Honda tem grande presenca no pais) 3. **Educação** - Kadokawa/Niconico confirma o grupo como ameaça ao setor educacional 4. **Saúde** - Octapharma confirma capacidade de atacar infraestrutura de saúde critica A linhagem Conti significa que os operadores tem experiência acumulada de anos, incluindo o ataque ao governo da **Costa Rica** em 2022 - demonstrando disposicao para atacar governos latinoamericanos. ## Detecção e Defesa - Monitorar atividade de Kerberoasting (Rubeus) em redes Active Directory - Detectar uso combinado de PsExec + SMB Admin Shares em sequencia - Alertar para criptografia parcial incomum em arquivos (padrao do BlackSuit) - Bloquear ferramentas RMM nao autorizadas (AnyDesk instalado fora do processo padrao) - Implementar MFA em RDP externo com bloqueio de brute-force - Monitorar deployments de Cobalt Strike (beacon HTTPS/DNS) - Aplicar patches em Citrix NetScaler (CVE-2023-4966) **Mitigação referênciada:** [[m1032-multi-factor-authentication|M1032]] · [[m1053-data-backup|M1053]] · [[m1026-privileged-account-management|M1026]] ## Referências - [Picus Security - BlackSuit Ransomware Group (Atualizado Ján 2026)](https://www.picussecurity.com/resource/blog/blacksuit-ransomware-group) - [Infosecurity Magazine - BlackSuit Dark Web Sites Seized (Jul 2025)](https://www.infosecurity-magazine.com/news/blacksuit-ransomware-sites-seized/) - [Barracuda - BlackSuit 8 Anos 6 Nomes (Out 2024)](https://blog.barracuda.com/2024/10/29/blacksuit-ransomware--8-years--6-names--1-cybercrime-syndicaté) - [eSentire - BlackSuit Impacts CDK Global (Jun 2024)](https://www.esentire.com/security-advisories/blacksuit-ransomware-impacts-cdk-global) - [BleepingComputer - CDK Global US$25M Ransom Payment](https://digitaldealer.com/news/report-cdk-paid-25-million-to-end-ransomware-attack/160583/) **Atores relacionados:** [[conti|Conti]] · [[royal-ransomware|Royal]] **Setores alvejados:** [[healthcare|Saúde]] · [[manufacturing|Manufatura]] · [[government|Governo]] **CVEs explorados:** [[cve-2023-4966|CVE-2023-4966]]