Η CISA και το FBI επιβεβαίωσαν σήμερα ότι το Royal ransomware μετονομάστηκε σε BlackSuit και έχει απαιτήσει πάνω από 500 εκατομμύρια δολάρια σε λύτρα, από τότε που εμφανίστηκε πριν από περισσότερα από δύο χρόνια.
Δείτε επίσης: Η McDowall Affleck επιβεβαιώνει επίθεση ransomware από τη RansomHub
Αυτές οι νέες πληροφορίες κοινοποιήθηκαν ως ενημέρωση σε μια κοινή συμβουλευτική που δημοσιεύθηκε τον Μάρτιο του 2023, σύμφωνα με την οποία η συμμορία BlackSuit είναι ενεργή από τον Σεπτέμβριο του 2022. Ωστόσο, αυτή η ιδιωτική ομάδα πιστεύεται ότι είναι άμεσος διάδοχος του διαβόητου συνδικάτου Conti cybercrime και ξεκίνησε ως Quantum ransomware τον Ιανουάριο του 2022.
Ενώ αρχικά χρησιμοποίησαν κρυπτογραφητές άλλων συμμοριών (όπως ALPHV/BlackCat), πιθανότατα για να αποφύγουν να τραβήξουν ανεπιθύμητη προσοχή, ανέπτυξαν τον δικό τους Zeon κρυπτογραφητή σύντομα και μετονομάστηκαν σε Royal τον Σεπτέμβριο του 2022.
Μετά την επίθεση στην πόλη του Ντάλας του Τέξας, τον Ιούνιο του 2023, η επιχείρηση Royal ransomware άρχισε να δοκιμάζει έναν νέο κρυπτογραφητή που ονομάζεται BlackSuit εν μέσω φημών για αλλαγή επωνυμίας. Από τότε, λειτουργεί με το όνομα BlackSuit και οι επιθέσεις Royal Ransomware έχουν σταματήσει εντελώς.
Τον Μάρτιο του 2023, με μια επακόλουθη συμβουλευτική ενημέρωση του Νοεμβρίου 2023, οι δύο υπηρεσίες μοιράστηκαν δείκτες παραβίασης και μια λίστα τακτικών, τεχνικών και διαδικασιών (TTP) για να βοηθήσουν τους υπερασπιστές να εμποδίσουν τις προσπάθειες της συμμορίας να αναπτύξει ransomware στα δίκτυά τους.
Δείτε ακόμα: Οι εικονικές μηχανές του OneBlood επηρεάστηκαν από επίθεση ransomware
Η CISA και το FBI συνέδεσαν επίσης τη συμμορία ransomware BlackSuit με επιθέσεις εναντίον περισσότερων από 350 οργανώσεων από τον Σεπτέμβριο του 2022 και τουλάχιστον 275 εκατομμύρια δολάρια σε αιτήματα για λύτρα.
Η κοινή συμβουλευτική εκδόθηκε για πρώτη φορά αφού η ομάδα ασφαλείας του Υπουργείου Υγείας και Ανθρωπίνων Υπηρεσιών (HHS) αποκάλυψε τον Δεκέμβριο του 2022 ότι η επιχείρηση ransomware βρισκόταν πίσω από πολλαπλές επιθέσεις που στόχευαν οργανισμούς υγειονομικής περίθαλψης σε όλες τις Ηνωμένες Πολιτείες.
Πιο πρόσφατα, πολλές πηγές είπαν ότι η συμμορία ransomware BlackSuit βρισκόταν πίσω από μια τεράστια διακοπή του CDK Global IT που διέκοψε τις λειτουργίες σε περισσότερες από 15.000 αντιπροσωπείες αυτοκινήτων σε όλη τη Βόρεια Αμερική.
Αυτή η εκτεταμένη διακοπή λειτουργίας μετά την επίθεση του περασμένου μήνα ανάγκασε την CDK να κλείσει τα συστήματα πληροφορικής και τα κέντρα δεδομένων της για να περιορίσει το περιστατικό και οι αντιπροσωπείες αυτοκινήτων να στραφούν σε στυλό και χαρτί, καθιστώντας αδύνατο για τους πελάτες να αγοράσουν αυτοκίνητα ή να λάβουν υπηρεσίες για οχήματα που είχαν ήδη αγοράσει.
Δείτε επίσης: Το Black Basta ransomware εξελίσσεται και αποφεύγει την ανίχνευση
Οι επιθέσεις ransomware, όπως αυτές τις ομάδας BlackSuit, είναι μια αυξανόμενη απειλή στο ψηφιακό τοπίο, που χαρακτηρίζεται από κακόβουλο λογισμικό που κρυπτογραφεί τα αρχεία ενός θύματος, καθιστώντας τα απρόσιτα μέχρι να πληρωθούν τα λύτρα. Αυτές οι επιθέσεις συχνά στοχεύουν άτομα, επιχειρήσεις, ακόμη και κρίσιμες υποδομές, διακόπτοντας τις λειτουργίες και διακυβεύοντας ευαίσθητα δεδομένα. Οι εγκληματίες του κυβερνοχώρου απαιτούν συνήθως πληρωμή σε κρυπτονομίσματα, κάτι που προσθέτει ένα επίπεδο ανωνυμίας και περιπλέκει τις προσπάθειες ανάκτησης. Τα προληπτικά μέτρα, όπως η διατήρηση τακτικών αντιγράφων ασφαλείας, η χρήση ισχυρών πρωτοκόλλων κυβερνοασφάλειας και η εκπαίδευση των χρηστών σχετικά με τις απάτες ηλεκτρονικού phishing, είναι απαραίτητα για τον μετριασμό του κινδύνου να πέσετε θύματα ransomware.
Πηγή: bleepingcomputer
