# BlackSuit Ransomware > [!critical] Sexta Geração da Linhagem Conti - Resgates de até USD 60 Milhões > **BlackSuit** é o ransomware da linhagem **Hermes → Ryuk → Conti → Royal → BlackSuit**, operado pelo grupo **Ignoble Scorpius** desde maio de 2023. Com 93-98% de similaridade de código com o Royal, o ransomware alvo infraestruturas críticas, saúde e tecnologia - exigindo resgates de USD 1M a USD 60M. O ataque ao CDK Global em 2024 impactou 15.000 concessionárias nos EUA. ## Visão Geral **BlackSuit** é um ransomware identificado em maio de 2023, com **93-98% de similaridade de código com o ransomware Royal** - o que levou o FBI e CISA a concluir que o BlackSuit é a evolução direta do Royal, operado pelo mesmo grupo [[ignoble-scorpius]] (anteriormente conhecido como operadores do [[royal-ransomware-group]]). O Royal, por sua vez, era a continuação do [[s0575-conti-ransomware]] após seu desmantelamento em 2022. Isso posiciona o BlackSuit como a **sexta geração** de uma linhagem que remonta ao Hermes, passando por Ryuk, Conti e Royal. O grupo exige resgates entre **$1 milhão e $10 milhões**, com pedidos documentados acima de **$60 milhões** em casos de alto perfil. ## Características Técnicas ### Herança da Linhagem Conti ``` Hermes (2017) → Ryuk (2018) → Conti (2020) → Royal (2022) → BlackSuit (2023) ``` A análise de código mostra funções práticamente idênticas ao Royal em: - Esquema de criptografia parcial (_intermittent encryption_) para velocidade - Enumeration de drives e shares de rede - Lógica de exclusão de extensões e diretórios do sistema - Mecanismos de auto-exclusão pós-execução ### Criptografia Intermitente A técnica de **criptografia intermitente** é o diferencial que permite alta velocidade: - Arquivos pequenos (< 5 MB): cifrados integralmente - Arquivos médios (5-100 MB): apenas partes cifradas - Arquivos grandes (> 100 MB): skip de blocos configurável Algoritmo: **AES-256** para cifragem de dados, **RSA** para proteção da chave de sessão. ### Capacidades e Comportamento - **Dual OS**: variantes para Windows e Linux (VMware ESXi) - **Auto-propagação via PsExec**: se executa em hosts da rede interna via PsExec e credenciais roubadas - **Exclusão de shadow copies**: `vssadmin` e `wmic` para impedir recuperação - **Modo silencioso**: encripta sem jánelas de interface para não alertar o usuário - **Site de vazamento**: dados exfiltrados públicados em site TOR `blacksuit[.]world` ### Vetores de Acesso Inicial | Vetor | Frequência | Descrição | |-------|-----------|-----------| | Phishing com callback | Alta | Emails com número de telefone (TOAD - Telephone-Oriented Attack) | | RDP exposto | Alta | Credenciais fracas ou brute-force | | Exploração de vulnerabilidades | Média | Citrix Bleed, SonicWall, Fortinet | | Compra de acesso IAB | Média | Uso de Initial Access Brokers | ## Diagrama de Cadeia de Ataque ```mermaid graph TB A["Phishing TOAD<br/>Callback via Telefone"] --> B["Acesso RDP<br/>ou Exploited VPN"] B --> C["Reconhecimento<br/>ADFind BloodHound"] C --> D["Movimento Lateral<br/>PsExec Credenciais Roubadas"] D --> E["Exfiltração<br/>Rclone para Storage"] E --> F["BlackSuit Ransomware<br/>AES-256 Intermitente"] F --> G["Exclusao Shadow Copies<br/>vssadmin wmic"] G --> H["Nota de Resgaté<br/>README.BlackSuit.txt"] H --> I["Dupla Extorsao<br/>1M a 60M USD"] ``` ## Diagrama de Linhagem ```mermaid graph TB A["Hermes Ransomware<br/>2017"] --> B["Ryuk<br/>2018-2020"] B --> C["Conti<br/>2020-2022"] C --> D["Royal<br/>2022-2023"] D --> E["BlackSuit<br/>Mai 2023 - Atual"] E --> F["Windows<br/>93-98 pct similarity Royal"] E --> G["Linux VMware ESXi<br/>Variante servidor"] ``` ## Campanhas e Alvos de Alto Perfil ### Casos Notáveis - **CDK Global** (junho 2024): ataque a provedor de software automotivo, impactando mais de 15.000 concessionárias nos EUA. Resgaté estimado de $25 milhões - **Kansas City** (2023): ataque a infraestrutura pública da cidade americana - **Setor de saúde**: múltiplos hospitais e redes de saúde nos EUA e Europa ### Perfil de Vítimas O grupo demonstra preferência por organizações com alta capacidade de pagamento e dados críticos nos setores [[critical-infrastructure|infraestrutura crítica]], [[healthcare|saúde]], [[technology|tecnologia]] e [[government|governo]]. ## Relevância para LATAM e Brasil > [!latam] Linhagem Conti no Brasil > A linhagem **Hermes → Ryuk → Conti** teve ataques documentados contra organizações brasileiras nos setores financeiro e saúde. O **BlackSuit**, como herdeiro direto, mantém o mesmo perfil de vitimologia - alvos de alto valor com capacidade de pagamento e dados críticos. O ataque ao CDK Global (2024) demonstra a sofisticação de campanhas que impactam toda uma cadeia de fornecimento. - **Linhagem Conti no Brasil**: operadores do Conti histórico atacaram organizações brasileiras; a mesma linhagem BlackSuit mantém o risco - **Infraestrutura de saúde**: o [[healthcare|setor de saúde]] brasileiro é vulnerável ao mesmo perfil de ataque (hospitais com sistemas legados e RDP exposto) - **Fintechs e financeiro**: o [[financial|setor financeiro]] brasileiro é alvo recorrente de ransomware de alto valor - **Resgates altos**: organizações de grande porte no Brasil já foram alvos de grupos da linhagem Conti com pedidos de milhões de dólares ## Detecção e Mitigação ### Indicadores de Comprometimento **Comportamentais:** - Arquivo de nota de resgaté `README.BlackSuit.txt` em múltiplos diretórios - Extensão `.blacksuit` adicionada a arquivos cifrados - Execução de `vssadmin delete shadows /all` ou equivalente `wmic` - PsExec executado a partir de conta de serviço ou sistema em hosts remotos - Volume anormalmente alto de operações de leitura+escrita em disco (criptografia) **Rede:** - Conexões para serviços de cloud storage legítimos (Rclone via Mega, Dropbox) em horário atípico - Beaconing para domínios TOR ou IPs não categorizados ### Mitigações Recomendadas Implementar [[m1057-data-backup|M1057]] com backups imutáveis e isolados da rede. Aplicar [[m1042-disable-or-remove-feature|M1042]] para desabilitar RDP desnecessário. Usar [[m1032-multi-factor-authentication|M1032]] em todos os acessos VPN e RDP. Monitorar via [[ds0009-process-creation|DS0009]] para execução de ferramentas de reconhecimento AD. Aplicar [[m1030-network-segmentation|M1030]] para limitar propagação lateral. ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-061a) CISA/FBI - #StopRansomware: Royal Ransomware Updated Advisory (2023) - [2](https://www.bleepingcomputer.com/news/security/blacksuit-ransomware-new-rebranding-of-royal/) BleepingComputer - BlackSuit: New Rebranding of Royal Ransomware (2023) - [3](https://www.crowdstrike.com/blog/blacksuit-ransomware-technical-analysis/) CrowdStrike - BlackSuit Ransomware Technical Analysis (2023) - [4](https://www.bleepingcomputer.com/news/security/cdk-global-cyberattack-caused-by-blacksuit-ransomware-gang/) BleepingComputer - CDK Global Cyberattack Caused by BlackSuit Ransomware Gang (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.blacksuit) Malpedia - BlackSuit Ransomware Entry (2024)