Conform informațiilor furnizate de CISA și FBI, ransomware-ul Royal a fost rebranduit sub numele de BlackSuit și a cerut peste 500 de milioane de dolari victimelor sale de la apariția sa acum mai bine de doi ani.
Aceste detalii au fost făcute publice ca o actualizare la un aviz comun publicat în martie 2023, care menționează că gruparea BlackSuit este activă din septembrie 2022.
Acest grup privat este considerat a fi un succesor direct al notorului sindicat de criminalitate cibernetică Conti și a început sub numele de ransomware Quantum în ianuarie 2022.
Inițial, au folosit encryptoarele altor grupări (cum ar fi ALPHV/BlackCat), probabil pentru a evita atragerea atenției nedorite, dar au dezvoltat propriul encryptor Zeon curând și s-au rebranduit sub numele de Royal în septembrie 2022.
După ce au atacat orașul Dallas, Texas, în iunie 2023, operațiunea de ransomware Royal a început să testeze un nou encryptor numit BlackSuit în mijlocul zvonurilor de rebranding. De atunci, au acționat sub numele de BlackSuit, iar atacurile ransomware de tip Royal s-au oprit complet.
„Ransomware-ul BlackSuit este evoluția ransomware-ului identificat anterior ca fiind ransomware-ul Royal, care a fost folosit aproximativ din septembrie 2022 până în iunie 2023. BlackSuit prezintă numeroase similarități de codare cu ransomware-ul Royal și a demonstrat capacități îmbunătățite”, au confirmat FBI și CISA într-o actualizare de miercuri a avizului lor original.
„Cerințele de răscumpărare au variat în mod obișnuit între aproximativ 1 milion și 10 milioane de dolari SUA, cu plata cerută în Bitcoin. Actorii BlackSuit au cerut peste 500 de milioane de dolari SUA în total, iar cea mai mare cerere individuală de răscumpărare a fost de 60 de milioane de dolari.”
În martie 2023 și într-o actualizare ulterioară din noiembrie 2023, cele două agenții au împărtășit indicatori de compromitere și o listă de tactici, tehnici și proceduri (TTP-uri) pentru a ajuta apărătorii să blocheze încercările grupării de a implementa ransomware pe rețelele lor.
CISA și FBI au legat, de asemenea, gruparea BlackSuit de atacuri împotriva a peste 350 de organizații din septembrie 2022 și de cel puțin 275 de milioane de dolari cereri de răscumpărare.
Avizul comun a fost emis pentru prima dată după ce echipa de securitate a Departamentului de Sănătate și Servicii Umane (HHS) a dezvăluit în decembrie 2022 că operațiunea de ransomware se afla în spatele mai multor atacuri împotriva organizațiilor de sănătate din Statele Unite.
Cel mai recent, surse multiple au declarat pentru BleepingComputer că gruparea de ransomware BlackSuit se afla în spatele unei masive întreruperi a serviciilor IT la CDK Global, care a perturbat operațiunile a peste 15.000 de dealeri auto din America de Nord.
Această întrerupere extinsă, după atacul de luna trecută, a determinat CDK să închidă sistemele sale IT și centrele de date pentru a limita incidentul și dealerii auto să treacă la hârtie și creion, făcând imposibilă achiziționarea de mașini sau primirea serviciilor pentru vehiculele deja achiziționate.
CDK Global spune că toți dealerii vor fi din nou online până joi
CISA și FBI: Atacurile DDoS nu vor afecta integritatea alegerilor din SUA
CISA avertizează cu privire la bug-ul VMware ESXi exploatat în atacuri ransomware
CISA îndeamnă dezvoltatorii să elimine vulnerabilitățile de injectare a comenzilor OS
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile de injectare SQL
Leave a Reply