CISA 与 FBI 合作，发布了一份关于 BlackSuit 勒索软件组织的联合公告。该公告包括与 BlackSuit 操作相关的最近和历史上观察到的策略、技术和程序 （TTP） 以及妥协指标 （IOC），该操作重塑了 FBI 调查发现的最新 2024 年 7 月的传统 Royal 勒索软件。BlackSuit 勒索软件已针对各种关键基础设施部门，包括商业设施、医疗保健、政府和制造业。该报告是美国政府开展的 #StopRansomware 倡议的一部分，该公告最初发布于 2023 年 3 月 2 日，已更新两次：

2023年11月13日： 该公告已更新，以分享新的皇家 TTP 和国际石油公司。2024 年 8 月 7 日：该公告已更新，以通知网络防御者将“Royal”勒索软件参与者更名为“BlackSuit”。此更新包括与 BlackSuit 勒索软件相关的新 TTP、IOC 和检测方法。“Royal”自始至终都更新为“BlackSuit”，除非提及遗留的皇室活动。将记录更新和新内容。

BlackSuit 攻击者通过多种方法获得对受害者网络的初步访问权限，包括网络钓鱼活动、远程桌面协议 （RDP）（在大约 13.3% 的事件中使用）、利用面向公众的应用程序中的漏洞以及使用访问代理提供的初始访问权限，并从窃取者日志中收集 VPN 凭据。

从历史上看，人们观察到皇家参与者利用 Secure Shell （SSH） 客户端、PuTTY、OpenSSH 和 MobaXterm 进行 C2 通信。Chisel

该组织使用 SharpShares 和 SoftPerfect NetWorx 来绘制受害者网络。他们威胁行为者还使用 Mimikatz 和 Nirsoft 工具来窃取凭据和获取密码。此外，他们经常部署 PowerTool 和 GMER 等工具来终止系统进程。

该组织使用后利用工具（如 Cobalt Strike）和恶意软件（如 Ursnif）泄露从受害者网络窃取的数据。

BlackSuit 演员通常要求 100 万美元至 1000 万美元不等的赎金，以比特币支付，并且集体寻求超过 5 亿美元，最高个人要求达到 6000 万美元。他们愿意协商付款金额，这些金额未在最初的赎金票据中指定，而是通过加密后提供的 .onion URL 进行讨论。最近，来自 BlackSuit 演员的直接通信（例如电话或电子邮件）有所增加。像其他团体一样，如果不支付赎金，该团伙会使用 Tor 泄漏站点发布受害者数据。

“FBI 和 CISA 鼓励组织实施本 CSA 的缓解部分中的建议，以减少勒索软件事件的可能性和影响，”该报告总结道，该报告还提供了妥协指标 （IoC）。