s1073-royal-blacksuit

# Royal / BlackSuit - Successores do Conti com US$ 370 mi em Resgates > **ATIVO (como BlackSuit) | Ransomware | Windows + Linux + ESXi | Global** - Royal surgiu em setembro de 2022 como herdeiro direto do [[conti|Conti]], evoluiu para BlackSuit em meados de 2023, e foi desmantelado parcialmente pela Operation Checkmaté em julho de 2025. No total, o sindicato comprometeu **450+ organizacoes nos EUA** e arrecadou mais de **US$ 370 milhões** em resgates desde 2022, incluindo alvos no Brasil. ## Visão Geral **Royal** (depois **BlackSuit**) e o ransomware operado por ex-membros do [[conti|Conti]] - o maior sindicato de ransomware antes de seu colapso em maio de 2022. A linhagem e documentada: Hermes (2016) → Ryuk (2018) → Conti (2020) → Zeon (ján/2022) → Royal (set/2022) → BlackSuit (jun/2023). A transicao de Royal para BlackSuit foi confirmada pelo FBI e CISA em agosto de 2024, com advisory atualizado indicando que BlackSuit "e a evolução do ransomware anteriormente identificado como Royal." O maior ataque individual foi contra a CDK Global (jun/2024), causando interrupcao de US$ 1 bilhao em 15.000 revendedoras de automoveis na América do Norte, com pagamento de resgaté de US$ 25 milhões. | Campo | Detalhe | |-------|---------| | **Tipo** | Ransomware privado (nao-RaaS) | | **Criptografia** | Parcial + RSA/AES hibrido | | **Extensao Royal** | `.royal_u` | | **Extensao BlackSuit** | `.royal_w` / `readme.BlackSuit.txt` | | **Primeira observacao** | Setembro 2022 (Royal) / Junho 2023 (BlackSuit) | | **Status** | Parcialmente disruptado (Operation Checkmaté, jul/2025) | | **Total arrecadado** | US$ 370 milhões+ (HSI) | | **Maior demanda individual** | US$ 60 milhões | ## Linhagem - Sindicato Criminal de 8 Anos ```mermaid graph TB A["⚙ Hermes 2016 Commodity ransomware Vendido em fóruns underground"] A --> B["💀 Ryuk 2018 Big game hunting pioneiro Código similar ao Hermes"] B --> C["🌀 Conti 2020 Maior sindicato ransomware Desmantelado mai/2022"] C --> D["⚡ Zeon ján/2022 Notas de resgaté similares ao Conti Rebranding intermediario"] D --> E["👑 Royal set/2022 Encriptacao parcial TOAD callbacks"] E --> F["🖤 BlackSuit jun/2023 Evolução confirmada FBI/CISA CDK Global: USD 25mi"] F --> G["❓ Chaos 2025? Cisco Talos: rebranding provavel TTPs identicos ao BlackSuit"] classDef old fill:#7f8c8d,color:#fff classDef mid fill:#e67e22,color:#fff classDef conti fill:#e74c3c,color:#fff classDef royal fill:#3498db,color:#fff classDef blacksuit fill:#2c3e50,color:#fff class A old class B mid class C conti class D mid class E royal class F blacksuit class G blacksuit ``` ## Caracteristicas Técnicas Distintivas ### Criptografia Parcial Configuravel A inovacao central do Royal/BlackSuit e a **criptografia de percentual configuravel** do conteudo dos arquivos. Para arquivos grandes, o operador pode reduzir o percentual cifrado, acelerando dramaticamente a execução e reduzindo a jánela de detecção por soluções de segurança baseadas em I/O. ### Vetor TOAD (Telephone-Oriented Attack Delivery) O método de acesso inicial mais caracteristico: **phishing de callback** - e-mails maliciosos que convencem vitimas a ligar para um número de "suporte" falso, onde o operador persuade a instalacao de RMM software, obtendo acesso remoto. ### Alcance Multi-Plataforma - **Windows**: vetor primario, criptografia de arquivos e shares SMB - **Linux/ESXi**: variante para servidores VMware ESXi observada desde fev/2023, cifra VMs diretamente ## Attack Flow ```mermaid graph TB A["📞 TOAD Callback Phishing inicial + ligue para suporte T1566 / T1133 RMM software"] A --> B["🔐 Acesso RDP/VPN Credenciais compradas / RMM T1078 Valid Accounts"] B --> C["🔍 Reconhecimento SharpShares / SoftPerfect NetWorx T1046 / T1135 / T1082"] C --> D["🔕 Desabilita defesas AV / EDR desativados T1562.001"] D --> E["📤 Exfiltração Cobalt Strike / Ursnif-Gozi / RClone Brute Ratel / T1041"] E --> F["💀 Deploy ransomware Criptografia parcial configuravel T1486 / PsExec lateral"] F --> G["🔥 Deleta shadows + logs T1490 / T1070 Ransomware note via TOR"] classDef initial fill:#e74c3c,color:#fff classDef access fill:#e67e22,color:#fff classDef recon fill:#f39c12,color:#fff classDef evasion fill:#3498db,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#2c3e50,color:#fff class A initial class B access class C recon class D evasion class E exfil class F impact class G impact ``` ## Timeline ```mermaid timeline title Royal e BlackSuit - Linha do Tempo 2022-01 : Zeon ransomware observado 2022-09 : Rebranding para Royal 2023-03 : Advisory CISA + FBI sobre Royal 2023-05 : Cidade de Dallas comprometida - US$ 8.5mi 2023-06 : BlackSuit observado - código quase identico ao Royal 2023-11 : Advisory atualizado - Royal se preparando para BlackSuit 2024-06 : CDK Global - US$ 25mi pagos; US$ 1bi em disrupcoes 2024-04 : Octapharma Plasma - 160+ centros de doacao impactados 2024-08 : FBI/CISA confirmam BlackSuit como evolução do Royal 2025-07 : Operation Checkmaté - dominios de extorsao apreendidos pela HSI 2025 : Cisco Talos: possível rebranding para Chaos ransomware ``` ## TTPs MITRE ATT&CK | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Acesso Inicial | [[t1566-phishing\|T1566]] | TOAD callback + phishing tradicional | | Acesso Inicial | [[t1133-external-remote-services\|T1133]] | RMM software instalado via engenharia social | | Execução | [[t1059-001-powershell\|T1059.001]] | Batch scripts de reconhecimento e configuração | | Execução | [[t1059-012-hypervisor-cli\|T1059.012]] | esxcli para comprometer VMware ESXi | | Evasão | [[t1562-001-disable-windows-defender\|T1562.001]] | Desabilitacao de AV/EDR pre-criptografia | | Evasão | [[t1070-indicator-removal\|T1070]] | Remoção de artefatos maliciosos | | Credenciais | T1555.003 | Roubo de credenciais de navegadores | | Descoberta | [[t1046-network-service-discovery\|T1046]] | SharpShares + SoftPerfect NetWorx | | Descoberta | [[t1135-network-share-discovery\|T1135]] | Mapeamento de shares de rede | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento de sistema | | Movimento Lateral | [[t1021-002-smbwindows-admin-shares\|T1021.002]] | PsExec para propagação lateral | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas (Cobalt Strike, Rclone) | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Rclone + Cobalt Strike + Brute Ratel | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia parcial configuravel | | Impacto | [[t1489-service-stop\|T1489]] | Parada de servicos antes da criptografia | | Impacto | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de Volume Shadow Copies | | Impacto | [[t1657-financial-theft\|T1657]] | Dupla extorsao - pública dados se nao pagar | ## Relevância LATAM e Brasil Royal/BlackSuit tem **presenca documentada no Brasil** como pais alvo. A Picus Security confirma o Brasil entre os paises com vitimas documentadas do Royal (ao lado de EUA, Italia, Espanha, Reino Unido). - **Infraestrutura critica brasileira em risco**: O grupo ataca específicamente hospitais, distribuidores de energia, manufatura e governo - todos setores presentes e vulneraveis no Brasil. - **ESXi brasileiro**: O crescimento de ambientes virtualizados VMware no Brasil cria exposicao específica para a variante ESXi do Royal/BlackSuit. - **Modelo sem restricao geografica**: Ao contrario de grupos que evitam paises ex-sovieticos, Royal/BlackSuit nao declara restricao de targeting - qualquer organização brasileira de setores sensiveis e elegivel. - **US$ 370 mi arrecadados**: A escala financeira indica capacidade operacional para atacar múltiplos alvos simultaneamente em regioes diferentes. ## Detecção - Monitorar atividade de criptografia parcial de arquivos em múltiplos diretorios simultaneamente (padrao I/O anomalo) - Detectar encerramento de servicos criticos (banco de dados, backup, AV) em sequencia rapida via `net stop` - Alertar sobre uso de `esxcli` ou comandos de hypervisor por processos nao esperados - Monitorar acesso a compartilhamentos administrativos SMB seguido de escritas em massa - Detectar RClone estabelecendo conexoes saintes para servicos de cloud storage (rclone.exe + argumentos) - Implementar honeypots de arquivos para detectar tentativas de criptografia precocemente - Monitorar instalacao de AnyDesk, ScreenConnect ou outros RMM sem justificativa em servidores ## Relacoes - [[conti|Conti]] - predecessor direto; membros migraram para Royal - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 primario nas campanhas - [[s0533-systembc|SystemBC]] - usado por afiliados BlackSuit como backdoor - [[s1138-gootloader|Gootloader]] - loader alternativo documentado por afiliados - [[healthcare|saúde]], [[critical-infrastructure|infraestrutura critica]] - setores com maior impacto - Operation Checkmaté (jul/2025) - disrupcao pelo HSI com parceiros internacionais ## Referências - [1] [FBI + CISA - #StopRansomware: BlackSuit (Royal) Ransomware (ago/2024)](https://www.ic3.gov/CSA/2024/240807.pdf) - [2] [MITRE ATT&CK - S1073](https://attack.mitre.org/software/S1073) - [3] [Barracuda - BlackSuit Ransomware: 8 years, 6 names, 1 cybercrime syndicaté (2024)](https://blog.barracuda.com/2024/10/29/blacksuit-ransomware--8-years--6-names--1-cybercrime-syndicaté) - [4] [Daily Security Review - Royal and BlackSuit Breached 450+ US Companies (2025)](https://dailysecurityreview.com/security-spotlight/blacksuit-ransomware-and-royal-operations-breached-450-u-s-companies/) - [5] [Picus Security - CISA Alert AA23-061A: BlackSuit (Royal) Analysis](https://www.picussecurity.com/resource/blog-cisa-alert-aa23-061a-royal-ransomware-analysis-simulation-and-ttps)