# Royal BlackSuit Group > [!danger] Grupo de Ransomware com US$ 500M+ Extorquidos - Rebranding para BlackSuit > **Royal** foi um grupo de ransomware ativo de setembro de 2022 a junho de 2023 que depois evoluiu e foi renomeado para **BlackSuit**. Juntos, os atores por tras do Royal/BlackSuit extorquiram mais de **US$ 500 milhões** com demandas individuais chegando a **US$ 60 milhões**. Em agosto de 2024, o FBI e CISA públicaram advisory conjunto documentando o rebranding e novas TTPs do BlackSuit. ## Visão Geral O **Royal Group** foi um grupo de ransomware operacional de setembro de 2022 até junho de 2023, quando fez o rebranding para **BlackSuit**. O FBI e a CISA confirmaram que o BlackSuit compartilha **"númerosas similaridades de código"** com o Royal e exibe capacidades melhoradas, indicando ser uma evolução direta do mesmo grupo de operadores - e nao um novo grupo independente. Os operadores sao acreditados como um **grupo principal privado** (nao operando modelo RaaS aberto) com conexão suspeita com ex-membros do **Conti ransomware** - o historico de vitimas e TTPs iniciais mostravam sobreposicao com as operações do Conti antes de sua dissolução em 2022. **Caracteristicas operacionais:** - Pedidos de resgaté de **US$ 1 milhao a US$ 10 milhões** (Bitcoin), negociaveis via Tor - Valor total extorquido ultrapassou US$ 500 milhões (até julho 2024) - Maior pedido individual: **US$ 60 milhões** - Comúnicação com vitimas via Tor .onion após criptografia (valor nao incluido na nota inicial) - Escalada tática recente: contato telefonico e por email diretamente com vitimas após o ataque **Relevância para o Brasil:** Embora o foco historico do Royal/BlackSuit sejá nos EUA e Europa, o setor de saúde brasileiro - incluindo hospitais privados de grande porte e operadoras de planos de saúde - corresponde ao perfil de vitimas prioritarias do grupo. A lógica economica de ransomware direcionado a healthcare (alta urgencia de recuperacao, dados sensiveis de pacientes) torna o setor de saúde brasileiro um alvo potencial para atores como o BlackSuit. ## Evolução: Royal para BlackSuit ```mermaid graph TB A["Ex-membros Conti (2022)<br/>Dissolução do Conti<br/>Formacao de novo grupo privado"] --> B["Royal Ransomware<br/>Set 2022 - Jun 2023<br/>Foco: Saude e Governo EUA"] B --> C["Rebranding para BlackSuit<br/>Julho 2023<br/>Código similar + capacidades melhoradas"] C --> D["BlackSuit 2023-2024<br/>900+ vitimas acumuladas<br/>US$ 500M+ extorquidos"] D --> E["Advisory FBI/CISA<br/>Agosto 2024<br/>AA23-061A atualizado"] style A fill:#1a5276,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#8e44ad,color:#fff style E fill:#16a085,color:#fff ``` ## Attack Flow Operacional ```mermaid graph TB A["Acesso Inicial<br/>Phishing com PDF malicioso<br/>Malvertising / RDP comprometido"] --> B["Estabelecimento<br/>Cobalt Strike / SystemBC<br/>Gootloader para persistência"] B --> C["Reconhecimento Interno<br/>SharpShares + SoftPerfect NetWorx<br/>Enumeracao de redes e compartilhamentos"] C --> D["Escalada de Privilegios<br/>Mimikatz e Nirsoft<br/>Credenciais para admin de dominio"] D --> E["Desativacao de Defesas<br/>PowerTool / GMER<br/>GPO para desabilitar AV"] E --> F["Exfiltração + Dupla Extorsao<br/>RClone / Brute Ratel C4<br/>Dados vazados no site Tor se nao pagar"] F --> G["Deploy do Ransomware<br/>BlackSuit encriptador<br/>Todos os dados cifrados"] style A fill:#8b1a1a,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#f39c12,color:#fff style E fill:#8e44ad,color:#fff style F fill:#2980b9,color:#fff style G fill:#16a085,color:#fff ``` ## TTPs Principais | Tática | Técnica | Descrição | |--------|---------|-----------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Emails de phishing com PDFs maliciosos | | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Malvertising com links maliciosos | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de aplicações públicas vulneraveis | | Initial Access | [[t1021-001-remote-desktop-protocol\|T1021.001]] | Comprometimento de credenciais RDP | | Defense Evasion | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | PowerTool/GMER para matar processos de segurança | | Persistence | [[t1133-external-remote-services\|T1133]] | RMM software legitimo para persistência | | Privilege Escalation | [[t1484-001-group-policy-modification\|T1484.001]] | Modificacao de GPO para desabilitar AV em todo dominio | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia completa do ambiente corporativo | ## Arsenal de Ferramentas | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Pos-comprometimento e movimentação lateral | | [[s0533-systembc\|SystemBC]] | Proxy malware | Persistência e tunel C2 | | Gootloader | Malware loader | Carregamento de payloads adicionais | | SharpShares | Recon tool | Enumeracao de compartilhamentos de rede | | Mimikatz | Credential dump | Obtencao de credenciais do LSASS | | RClone | Data exfil | Exfiltração de dados para cloud storage | | Brute Ratel C4 | C2 alternativo | Framework de post-exploitation alternativo | | PowerTool / GMER | Defense evasion | Matar processos de AV/EDR | ## Setores Alvo e Escala A partir do advisory FBI/CISA de agosto de 2024, o BlackSuit afetou: - **Healthcare e Public Health** - setor mais visado (alta urgencia de recuperacao) - **Government Facilities** - municipios e agencias federais - **Critical Manufacturing** - fabricantes industriais - **Commercial Facilities** - varejo e espaco comercial Vitimas de destaque incluem Condado de Dallas (Texas) e CDK Global (software automotivo, 2024). ## Detecção e Defesa > [!tip] Indicadores de Detecção > - Processos PowerShell ou cmd desconhecidos desativando Windows Defender ou modificando GPOs de segurança > - SharpShares.exe ou SoftPerfect NetWorx sendo executados em servidores de producao > - Conexoes RClone para destinos cloud nao autorizados (indicativo de exfiltração pre-ransomware) > - Brute Ratel C4 beacons - assinaturas distintas de Cobalt Strike para evasão de EDR > - Nota de resgaté com extensao .BlackSuit ou .royal em sistemas de arquivo > [!info] Mitigacoes Recomendadas > - Implementar MFA em todos os acessos RDP externos e ferramentas de administracao remota > - Bloquear macro VBA em documentos Office recebidos de fora da organização > - Manter backups offline testados regularmente - especialmente critico para healthcare > - Monitorar e limitar uso de ferramentas de sincronizacao cloud (RClone, Mega) em servidores > - Segmentar redes de sistemas medicos e sistemas criticos de redes corporativas gerais ## Referências - [1](https://www.ic3.gov/CSA/2024/240807.pdf) FBI/CISA - StopRansomware: BlackSuit (Royal) Ransomware Advisory AA23-061A (2024) - [2](https://industrialcyber.co/cisa/cisa-and-fbi-issue-updated-alert-on-blacksuit-ransomware-targeting-critical-infrastructure-sectors/) Industrial Cyber - CISA/FBI Updated Alert on BlackSuit Ransomware (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) CISA - StopRansomware: BlackSuit (Royal) Ransomware (2024) - [4](https://www.tisalabs.com/advisories/royal-ransomware-actors-rebrand-as-blacksuit-fbi-and-cisa-release-update-to-advisory/) TisaLabs - Royal Ransomware Actors Rebrand as BlackSuit (2024) **Malware:** [[royal-ransomware|Royal Ransomware]] · [[blacksuit-ransomware|BlackSuit]] · [[s0533-systembc|SystemBC]] · [[s0154-cobalt-strike|Cobalt Strike]] **Técnicas:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1484-001-group-policy-modification|T1484.001]] **Setores alvo:** [[healthcare|Saúde]] · [[government|Governo]] · [[manufacturing|Manufatura]] · [[critical-infrastructure|Infraestrutura Critica]] **Relacionados:** [[play-group|Play Group]] · [[akira-group|Akira]] · [[lockbit|LockBit]]