O Departamento de Justiça dos EUA, em colaboração com várias agências policiais nacionais e internacionais, anunciou a apreensão de infraestrutura crítica associada ao grupo de ransomware BlackSuit, anteriormente conhecido como Royal.
As autoridades desmantelaram quatro servidores de comando e controle (C2) e nove domínios utilizados pelos agentes de ameaças para implantar cargas úteis de ransomware, extorquir vítimas por meio de táticas de dupla extorsão e lavar receitas ilícitas por meio de serviços de combinação de criptomoedas.
Esse esforço de várias agências, liderado pelas Investigações de Segurança Interna (HSI) do Departamento de Segurança Interna, pelo Serviço Secreto dos EUA, pela Investigação Criminal do IRS (IRS-CI) e pelo FBI, incorporou conhecimentos técnicos de parceiros no Reino Unido, Alemanha, Irlanda, França, Canadá, Ucrânia e Lituânia.
A operação teve como alvo a infraestrutura de back-end do grupo, que facilitou o acesso inicial por meio de campanhas de phishing, exploração de protocolo de área de trabalho remota (RDP) e encadeamento de vulnerabilidades em pilhas de software desatualizadas, permitindo o movimento lateral nas redes das vítimas e a exfiltração de dados antes da criptografia.
Executa a remoção coordenada
A abertura de um mandado federal revelou ainda o confisco de ativos de moeda virtual avaliados em aproximadamente US$ 1.091.453 no momento da apreensão, representando uma parte dos fundos derivados de ransomware rastreados por meio da análise de blockchain.
Esta apreensão, executada pelo Gabinete do Procurador dos EUA para o Distrito de Columbia com base em evidências coletadas por contrapartes no Distrito Leste da Virgínia por volta de 21 de junho de 2024, ressalta a aplicação de análise forense digital avançada e rastreamento de transações para interromper o apoio ao ecossistema financeiro Ransomware como serviço (RaaS).
O procurador-geral adjunto para Segurança Nacional, John A. Eisenberg, enfatizou o direcionamento persistente do grupo aos setores de infraestrutura crítica dos EUA, incluindo manufatura crítica, instalações governamentais, sistemas de saúde e saúde pública e instalações comerciais, representando graves riscos à segurança pública por meio de possíveis impactos de negação de serviço e violações de dados.
O procurador dos EUA Erik S. Siebert para o Distrito Leste da Virgínia destacou a estratégia “disruption-first”, que prioriza a remoção proativa de infraestrutura em vez da resposta reativa a incidentes, com o objetivo de degradar a resiliência operacional dos agentes de ameaças cibernéticas.
Implicações mais amplas para a segurança cibernética
Um Aviso de Segurança Cibernética conjunto do FBI e da Agência de Segurança Cibernética e Infraestrutura (CISA), atualizado para refletir a mudança de marca da BlackSuit de Royal, detalha as táticas, técnicas e procedimentos (TTPs) do grupo, incluindo o uso de beacons Cobalt Strike para execução de comandos, despejo de credenciais via Mimikatz e mecanismos de persistência, como tarefas agendadas e modificações de registro.
Os indicadores de comprometimento (IOCs) fornecidos no comunicado incluem endereços IP maliciosos, valores de hash para binários de ransomware e regras YARA para detecção, permitindo que as organizações reforcem as defesas por meio da segmentação de rede, Autenticação multifator (MFA) e correção oportuna de vulnerabilidades conhecidas, como as do CVE-2021-44228 (Log4Shell).
As vítimas eram normalmente coagidas a pagar resgates em Bitcoin (BTC) por meio de serviços ocultos do Tor na darknet, com um caso documentado em 4 de abril de 2023, envolvendo um pagamento de 49,3120227 BTC equivalente a US$ 1.445.454,86 na época, posteriormente lavado por meio de uma série de depósitos e saques em uma casa de câmbio virtual até congelar em 9 de janeiro de 2024.
O vice-diretor assistente Michael Prado, do Centro de Crimes Cibernéticos da HSI, descreveu a ação como um desmantelamento holístico do ecossistema de ransomware, abrangendo não apenas a remoção de servidores, mas também a interceptação de pipelines de lavagem de dinheiro que dependem de tumblers e exchanges descentralizadas.
O agente especial encarregado William Mancino, da Divisão de Investigação Criminal do Serviço Secreto dos EUA, observou o golpe nas capacidades de implantação do BlackSuit, enquanto o agente especial executivo encarregado Kareem Carter, do escritório de campo do IRS-CI em Washington, enfatizou o papel das investigações financeiras no rastreamento de fluxos ilícitos.
O caso está sendo Processado pelos procuradores assistentes dos EUA Laura D. Withers, Jacques Singer-Emery e Rick Blaylock Jr., com investigações em andamento envolvendo contrapartes internacionais, como a Agência Nacional de Crimes do Reino Unido e o Departamento de Polícia Cibernética da Ucrânia.
Essa operação exemplifica uma mudança em direção a interrupções multinacionais orientadas por inteligência, reduzindo potencialmente a superfície de ataque para afiliados RaaS e incentivando as vítimas a relatar incidentes em vez de pagar resgates, privando assim os agentes de ameaças de fluxos de receita.
À medida que as ameaças de ransomware evoluem com código polimórfico e explorações de dia zero, esses esforços coordenados destacam a necessidade de parcerias público-privadas para aumentar a resiliência cibernética em setores críticos.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!