Threat Intelligence

BlackSuit

BlackSuit ist das Rebranding der Royal-Gruppe – bekannt für Callback-Phishing: Das Opfer ruft die Angreifer selbst an.

Kurz erklärt

BlackSuit entstand 2023 als Nachfolger der Royal-Ransomware (die wiederum aus Conti-Strukturen hervorging). Markenzeichen ist Callback-Phishing: Eine harmlose Mail verleitet Mitarbeitende zum Anruf bei einer gefälschten Hotline – dort wird ihnen Fernwartungssoftware untergeschoben. Danach folgen Datendiebstahl und Verschlüsselung.

Typ

Ransomware (Rebranding von Royal, Conti-Wurzeln)

Status

Aktiv – unter dem Namen BlackSuit seit 2023 (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Industrie, Bildung, Gesundheitswesen – mittlere bis große Organisationen

Taktiken

Callback-Phishing, missbrauchte Fernwartungs-Tools, Double Extortion, partielle Verschlüsselung für mehr Tempo

Risiko-Einschätzung

Hoch – Social-Engineering-Fokus umgeht technische Filter

Was Unternehmen jetzt prüfen sollten

  • Awareness für Callback-Phishing – verdächtige „Rechnungs-Hotlines“ nie anrufen
  • Whitelist für Fernwartungssoftware: alles andere blockieren und alarmieren
  • EDR-Erkennung für missbrauchte legitime Tools (AnyDesk & Co.)
  • Offline-Backups und geübter Wiederanlauf

Wie Argos unterstützt

Security-Awareness-Trainings gegen Social Engineering, 24/7-Erkennung missbrauchter Tools im Cyber Defense Center und Incident Response im Ernstfall.