Cyberthreat.id - Analisis varian Linux dari jenis ransomware baru yang disebut BlackSuit telah mencakup kesamaan yang signifikan dengan keluarga ransomware lain yang disebut Royal. Trend Micro, yang meneliti versi x64 VMware ESXi yang menargetkan mesin Linux, mengidentifikasi "tingkat kesamaan yang sangat tinggi" antara Royal dan BlackSuit.

"Faktanya, mereka hampir identik, dengan 98% kesamaan dalam fungsi, 99,5% kesamaan dalam blok, dan 98,9% kesamaan dalam lompatan berdasarkan BinDiff, alat pembanding untuk file biner," catat para peneliti Trend Micro sebagaimana ditulis The Hacker News.

Menurut The Hacker News, Perbandingan artefak Windows telah mengidentifikasi 93,2% kesamaan dalam fungsi, 99,3% dalam blok dasar, dan 98,4% dalam lompatan berdasarkan BinDiff.

BlackSuit pertama kali terungkap pada awal Mei 2023 ketika Palo Alto Networks Unit 42 menarik perhatian pada kemampuannya untuk menargetkan host Windows dan Linux.

Sejalan dengan grup ransomware lainnya, ini menjalankan skema pemerasan ganda yang mencuri dan mengenkripsi data sensitif di jaringan yang disusupi dengan imbalan kompensasi uang. Data yang terkait dengan satu korban telah terdaftar di situs kebocoran web gelapnya.

Temuan terbaru dari Trend Micro menunjukkan bahwa, baik BlackSuit dan Royal menggunakan AES OpenSSL untuk enkripsi dan menggunakan teknik enkripsi intermiten serupa untuk mempercepat proses enkripsi.

Selain tumpang tindih, BlackSuit menggabungkan argumen baris perintah tambahan dan menghindari daftar file yang berbeda dengan ekstensi tertentu selama pencacahan dan enkripsi.

"Munculnya ransomware BlackSuit (dengan kemiripannya dengan Royal) menunjukkan bahwa itu adalah varian baru yang dikembangkan oleh penulis yang sama, peniru yang menggunakan kode serupa, atau afiliasi dari geng ransomware Royal yang telah menerapkan modifikasi pada keluarga aslinya, " kata Trend Micro.

Mengingat bahwa Royal adalah cabang dari tim Conti sebelumnya, mungkin juga bahwa "BlackSuit muncul dari kelompok sempalan dalam geng ransomware Royal asli," teori perusahaan keamanan siber.

“Perkembangan ini sekali lagi menggarisbawahi perubahan konstan dalam ekosistem ransomware, bahkan ketika aktor ancaman baru muncul untuk mengubah alat yang ada dan menghasilkan keuntungan illegal,” tulis The Hacker News.

Ini termasuk inisiatif ransomware-as-a-service (RaaS) baru dengan nama kode NoEscape yang menurut Cyble memungkinkan operator dan afiliasinya memanfaatkan metode pemerasan tiga kali lipat untuk memaksimalkan dampak serangan yang berhasil.

Pemerasan rangkap tiga mengacu pada pendekatan tiga cabang di mana eksfiltrasi dan enkripsi data digabungkan dengan serangan denial-of-service (DDoS) terdistribusi terhadap target dalam upaya mengganggu bisnis mereka dan memaksa mereka membayar uang tebusan.

Layanan DDoS, per Cyble, tersedia dengan tambahan biaya $500.000, dengan operator memberlakukan ketentuan yang melarang afiliasi untuk menyerang entitas yang berlokasi di negara-negara Commonwealth of Independent States (CIS).[]