O Departamento de Segurança Interna dos EUA (DHS) diz que a gangue de crimes cibernéticos por trás das operações de ransomware Royal e BlackSuit violou centenas de empresas dos EUA antes de ser derrubada no mês passado.
A Homeland Security Investigations (HSI), o principal braço investigativo do DHS, que derrubou a infraestrutura do grupo em cooperação com parceiros internacionais de aplicação da lei, acrescentou que os cibercriminosos também coletaram mais de US$ 370 milhões de suas vítimas.
“Desde 2022, os grupos de ransomware Royal e BlackSuit comprometeram mais de 450 vítimas conhecidas nos Estados Unidos, incluindo entidades dos setores de saúde, educação, segurança pública, energia e governo”, disse oHSI ele disseem um comunicado de imprensa na quinta-feira.
“Combinados, os grupos receberam mais de US$ 370 milhões em pagamentos de resgate, com base nas avaliações atuais de criptomoedas. Os esquemas de ransomware usaram táticas de dupla extorsão – criptografando os sistemas das vítimas enquanto ameaçavam vazar dados roubados para coagir ainda mais o pagamento.
O Departamento de Justiça dos EUA confirmou em 24 de julho quea polícia apreendeu os domínios de extorsão da dark web da BlackSuit, substituindo o conteúdo dos locais de vazamento da gangue por banners de apreensão como parte de uma ação internacional conjunta com o codinome Operação Xeque-mate.
surgiu como ransomware Quantum em janeiro de 2022 e acreditava-se que fosse um sucessor do notório sindicato do crime cibernético Conti. Embora eles tenham implantado inicialmente criptografadores de outros grupos (comoALPHV/BlackCat), eles mais tarde desenvolveram seu próprio criptografador Zeon, renomeando como Royal ransomware em setembro de 2022.
Em junho de 2023, após ter como alvo oCidade de Dallas, Texasetestando um novo criptografador chamado BlackSuit, a gangue de ransomware Royal mudou para a marca BlackSuit.
A CISA e o FBI confirmaram em umAssessoria conjunta de novembro de 2023que Royal e BlackSuit compartilharam táticas semelhantes, ligando a gangue de ransomware Royal a ataques direcionados a mais de 350 organizações em todo o mundo desde setembro de 2022, o que resultou em pedidos de resgate superiores a US$ 275 milhões.
AnoAssessoria conjunta de agosto de 2024das duas agênciasmais tarde confirmou que o ransomware Royal havia sido renomeado como BlackSuit e exigiu mais de US$ 500 milhões das vítimas desde seu surgimento, mais de dois anos antes.
Reformulação da marca do ransomware Chaos
Desde que a infraestrutura do BlackSuit foi desmantelada, o grupo de pesquisa de inteligência de ameaças Cisco Talos encontrou evidências sugerindo que a gangue de ransomware BlackSuit provavelmente se renomeará novamente como Chaos ransomware.
A nova operação de ransomware como serviço (RaaS) dos cibercriminosos já foi vinculada a ataques de dupla extorsão, onde eles usam engenharia social baseada em voz para acesso e implantam um criptografador que visa o armazenamento local e remoto para causar o máximo de danos.
“O Talos acredita que o novo ransomware Chaos não está relacionado às variantes anteriores geradas pelo construtor Chaos, já que o grupo usa o mesmo nome para criar confusão”,Os pesquisadores disseram.
“A Talos avalia com confiança moderada que o novo grupo de ransomware Chaos é uma reformulação da marca do ransomware BlackSuit (Royal) ou operado por alguns de seus ex-membros.
“Essa avaliação é baseada nas semelhanças nos TTPs, incluindo comandos de criptografia, o tema e a estrutura da nota de resgate e o uso de ferramentas LOLbins e RMM em seus ataques.”
