# Royal Ransomware > Tipo: **ransomware** - S1073 - [MITRE ATT&CK](https://attack.mitre.org/software/S1073) > [!warning] Renomeado para BlackSuit em 2024 - Continua Ativo > O Royal ransomware foi renomeado para **BlackSuit** em agosto de 2024, com novos TTPs adicionados ao arsenal. Demandas totais superiores a US$275 milhões registradas. Brasil foi identificado como um dos paises-alvo pela CISA. O grupo tem conexoes documentadas com ex-operadores do Conti. ## Visão Geral [[royal-ransomware|Royal]] e um ransomware identificado pela primeira vez em setembro de 2022, operado por um grupo privado - sem modelo RaaS com afiliados externos. Os operadores sao suspeitos de serem **ex-membros do [[s0575-conti-ransomware|Conti]]**, dado as similaridades técnicas nas rotinas de criptografia e nos TTPs. Rastreado pela Microsoft como **DEV-0569**, o grupo foi renomeado para **BlackSuit** em agosto de 2024 com atualizacoes técnicas significativas. Uma caracteristica técnica distintiva do Royal e a **criptografia parcial configuravel**: o payload aceita um parametro `-ep` que define a porcentagem do arquivo a ser criptografada. Isso permite ao atacante configurar criptografias mais rapidas (menor percentual) para arquivos grandes, evitando deteccoes baseadas em tempo de criptografia e acelerando o processo em toda a rede. O **Brasil foi explicitamente listado** pela CISA como um dos principais paises-alvo do Royal em seus advisories. O grupo usa callback phishing ("call back phishing") como vetor diferenciado: vitimas recebem emails descrevendo uma cobranca pendente com um número de telefone para ligar e cancelar. Ao ligar, sao convencidas a instalar software RMM (AnyDesk, LogMeIn, Atera) que serve como backdoor inicial. **Plataformas:** Windows, Linux (VMware ESXi) ## Como Funciona O Royal/BlackSuit combina múltiplos vetores de acesso inicial com reconhecimento manual antes da implantação: 1. **Vetores de acesso diversificados:** Phishing com PDF malicioso ([[t1566-001-spearphishing-attachment|T1566.001]]), malvertising com link ([[t1566-002-spearphishing-link|T1566.002]]), RMM software via engenharia social, exploração de aplicações públicas ([[t1190-exploit-public-facing-application|T1190]]) 2. **Movimento lateral via RDP:** Uso de credenciais válidas para movimentação lateral via RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e PsExec em shares SMB 3. **Desativacao de defesas via GPO:** Desativacao de protocolos de antivirus ([[t1562-001-disable-or-modify-tools|T1562.001]]) modificando Group Policy Objects 4. **Tunelamento C2:** Uso do Chisel (tunneling SSH via HTTP) para comunicação com infraestrutura C2 ([[t1572-protocol-tunneling|T1572]]) 5. **Exfiltração antes da criptografia:** [[s0154-cobalt-strike|Cobalt Strike]], MegaCMD, rclone e SharpExfil para exfiltrar dados 6. **Criptografia modular:** OpenSSL AES-256, criptografia parcial configuravel, deleta shadow copies ([[t1490-inhibit-system-recovery|T1490]]) ```mermaid graph TB A["Callback phishing<br/>PDF malicioso / Malvertising<br/>T1566.001 + T1566.002"] --> B["RMM instalado<br/>AnyDesk / Atera / LogMeIn<br/>Acesso inicial estabelecido"] B --> C["Reconhecimento<br/>Network scan T1046<br/>Identificação alvos criticos"] C --> D["Movimento lateral<br/>RDP T1021.001 / PsExec<br/>Domain controller comprometido"] D --> E["Desativar defesas<br/>GPO modification T1562.001<br/>Chisel C2 tunnel T1572"] E --> F["Exfiltração<br/>Cobalt Strike + Rclone<br/>Extorsao dupla garantida"] F --> G["Royal/BlackSuit<br/>AES-256 parcial configuravel<br/>Shadow copies deletadas T1490"] classDef phishing fill:#e74c3c,color:#fff classDef rmm fill:#e67e22,color:#fff classDef recon fill:#27ae60,color:#fff classDef lateral fill:#2980b9,color:#fff classDef defense fill:#c0392b,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A phishing class B rmm class C recon class D lateral class E defense class F exfil class G encrypt ``` ## Timeline ```mermaid timeline title Royal / BlackSuit - Historico Set 2022 : Primeiras vitimas Royal detectadas : Suspeita de ex-membros Conti Mar 2023 : CISA Advisory AA23-061A publicado : Brasil listado como pais-alvo Nov 2023 : Demandas superam US$275 milhoes : Indicios de rebranding preparados Ago 2024 : Renomeado para BlackSuit : Novos TTPs - Process injection Cobalt Strike : AS-REP Roasting adicionado ao arsenal 2025 : BlackSuit continua ativo - US$500M+ em demandas ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | PDF malicioso por email | | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Malvertising / callback phishing | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Exploit aplicação pública | | Initial Access | [[t1133-external-remote-services\|T1133]] | RMM software via engenharia social | | Discovery | [[t1046-network-service-discovery\|T1046]] | Network Service Scanning | | Lateral Movement | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativar AV via GPO | | C2 | [[t1572-protocol-tunneling\|T1572]] | Chisel SSH tunnel | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 criptografia parcial | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Deletar Shadow Copies | ## Relevância LATAM/Brasil O [[royal-ransomware|Royal]]/BlackSuit e um dos poucos grupos de ransomware com o **Brasil explicitamente listado** como pais-alvo nos advisories da CISA. O grupo se concentra em infraestrutura critica - um setor com representacao significativa no Brasil como energia, saneamento e telecomúnicacoes. A caracteristica de nao ser RaaS (sem afiliados) sugere que os operadores selecionam vitimas com cuidado e conduzem reconhecimento antes do ataque. O vetor de callback phishing - onde a vitima e convencida a ligar e instalar software de suporte remoto - e particularmente eficaz em contextos brasileiros onde golpes de suporte tecnico via telefone já sao familiares para muitos usuarios. O modelo de extorsao dupla com vazamento de dados em site .onion e preocupante para organizacoes dos setores de [[healthcare|saúde]], [[government|governo]] e [[financial|financeiro]]. **Setores impactados:** [[government|governo]] - [[healthcare|saúde]] - [[critical-infrastructure|infraestrutura critica]] - [[manufacturing|manufatura]] ## Detecção - Bloquear instalacao de ferramentas RMM nao-autorizadas (AnyDesk, AnyDesk, LogMeIn, Atera) por usuarios comuns - Monitorar uso do Chisel ou ferramentas de tunneling SSH via HTTP em processos nao-administrativos - Detectar modificacoes de Group Policy Objects fora da jánela de manutenção - Alertar para delecao de shadow copies e execução de `vssadmin delete shadows` ```sigma title: Royal BlackSuit Chisel Tunneling Detection status: experimental logsource: category: network_connection product: windows detection: selection: CommandLine|contains: - 'chisel' - 'client' CommandLine|contains: - ':443' - ':80' condition: selection level: high tags: - attack.command_and_control - attack.t1572 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1073) MITRE ATT&CK - S1073 Royal (2024) - [2](https://www.ic3.gov/CSA/2023/231113.pdf) FBI/CISA - StopRansomware Royal Updaté (2023) - [3](https://www.picussecurity.com/resource/blog-cisa-alert-aa23-061a-royal-ransomware-analysis-simulation-and-ttps) Picus Security - Royal/BlackSuit TTPs Analysis (2024) - [4](https://www.aha.org/system/files/media/file/2023/11/hc3-tlp-clear-analyst-note-blacksuit-ransomeware-11-6-2023.pdf) HHS HC3 - BlackSuit Ransomware Healthcare Alert (2023) - [5](https://www.picussecurity.com/resource/blog/blacksuit-ransomware-group) Picus Security - BlackSuit Ransomware Group (2025)