Правоохранительные органы заблокировали в даркнете сайты, занимающиеся вымогательством в рамках операции BlackSuit, в ходе которой за последние несколько лет были атакованы и взломаны сети сотен организаций по всему миру.
Министерство юстиции США подтвердило удаление контента в электронном письме, отправленном ранее сегодня, сообщив, что власти, участвовавшие в этой акции, провели санкционированный судом арест доменов BlackSuit.
Ранее сегодня веб-сайты в доменных зонах BlackSuit .onion были заменены баннерами с сообщением о том, что сайты банды вымогателей были заблокированы федеральным правоохранительным органом США по расследованию нарушений национальной безопасности в рамках совместной международной операции под кодовым названием «Checkmate» («Шах и мат»).
«Этот сайт был заблокирован Службой расследований Министерства внутренней безопасности США в рамках скоординированного международного расследования правоохранительных органов», — гласит баннер.
BleepingComputer подтвердил, что среди заблокированных сайтов были блоги, посвящённые утечкам данных из даркнета, и сайты для переговоров, которые использовались для вымогательства у жертв денег в качестве выкупа.
Среди других правоохранительных органов, участвовавших в этой совместной операции, были Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Киберполиция Украины, Европол и другие.
Представитель румынской компании по кибербезопасности Bitdefender также сообщил BleepingComputer, что её подразделение по борьбе с киберпреступностью (известное как Draco Team) предоставляло консультации и рекомендации по кибербезопасности партнёрам из правоохранительных органов в ходе операции «Шах и мат».
«Мы благодарим наших партнёров из правоохранительных органов за их слаженную работу и решительность. Подобные операции подчёркивают важнейшую роль государственно-частного партнёрства в отслеживании, разоблачении и, в конечном счёте, ликвидации теневых группировок, занимающихся вымогательством», — заявили в Bitdefender.
Ребрендинг программы-вымогателя Chaos
В четверг исследовательская группа Cisco Talos по анализу угроз сообщила, что обнаружила доказательства того, что группировка, занимающаяся программами-вымогателями BlackSuit, скорее всего, снова сменит название на Chaos.
«Talos с умеренной уверенностью предполагает, что новая группа вымогателей Chaos либо сменила название на BlackSuit (Royal), либо управляется некоторыми из ее бывших участников», — сообщили исследователи.
«Эта оценка основана на сходстве тактик, техник и процедур, включая команды шифрования, тематику и структуру записок с требованием выкупа, а также использование LOLbins и RMM в атаках».
BlackSuit начал свою деятельность как программа-вымогатель Quantum в январе 2022 года и, как считается, является прямым преемником печально известного киберпреступного синдиката Conti. Хотя изначально они использовали шифровальщики других группировок (например, ALPHV/BlackCat), вскоре они внедрили собственный шифровальщик Zeon и в сентябре 2022 года переименовали его в программу-вымогатель Royal.
В июне 2023 года после атаки на город Даллас, штат Техас, группировка Royal, занимающаяся вымогательством, начала работать под названием BlackSuit после тестирования нового шифровальщика под названием BlackSuit на фоне слухов о ребрендинге.
CISA и ФБР впервые раскрыли в совместном консультативном заключении от ноября 2023 года, что Royal и BlackSuit придерживаются схожей тактики, в то время как их шифровальщики демонстрируют очевидные совпадения в кодировании. Та же рекомендация связала королевскую банду вымогателей с атаками, нацеленными на более чем 350 организаций по всему миру с сентября 2022 года, в результате чего требования о выкупе превысили 275 миллионов долларов.
Два агентстваподтвердилив августе 2024 года, что программа-вымогатель Royal сменила название на BlackSuit и с момента своего появления более двух лет назад потребовала от жертв более 500 миллионов долларов.
• Source: https://www.bleepingcomputer[.]com/news/security/law-enforcement-seizes-blacksuit-ransomware-leak-sites/
Министерство юстиции США подтвердило удаление контента в электронном письме, отправленном ранее сегодня, сообщив, что власти, участвовавшие в этой акции, провели санкционированный судом арест доменов BlackSuit.
Ранее сегодня веб-сайты в доменных зонах BlackSuit .onion были заменены баннерами с сообщением о том, что сайты банды вымогателей были заблокированы федеральным правоохранительным органом США по расследованию нарушений национальной безопасности в рамках совместной международной операции под кодовым названием «Checkmate» («Шах и мат»).
«Этот сайт был заблокирован Службой расследований Министерства внутренней безопасности США в рамках скоординированного международного расследования правоохранительных органов», — гласит баннер.
BleepingComputer подтвердил, что среди заблокированных сайтов были блоги, посвящённые утечкам данных из даркнета, и сайты для переговоров, которые использовались для вымогательства у жертв денег в качестве выкупа.
Среди других правоохранительных органов, участвовавших в этой совместной операции, были Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Киберполиция Украины, Европол и другие.
Представитель румынской компании по кибербезопасности Bitdefender также сообщил BleepingComputer, что её подразделение по борьбе с киберпреступностью (известное как Draco Team) предоставляло консультации и рекомендации по кибербезопасности партнёрам из правоохранительных органов в ходе операции «Шах и мат».
«Мы благодарим наших партнёров из правоохранительных органов за их слаженную работу и решительность. Подобные операции подчёркивают важнейшую роль государственно-частного партнёрства в отслеживании, разоблачении и, в конечном счёте, ликвидации теневых группировок, занимающихся вымогательством», — заявили в Bitdefender.
Ребрендинг программы-вымогателя Chaos
В четверг исследовательская группа Cisco Talos по анализу угроз сообщила, что обнаружила доказательства того, что группировка, занимающаяся программами-вымогателями BlackSuit, скорее всего, снова сменит название на Chaos.
«Talos с умеренной уверенностью предполагает, что новая группа вымогателей Chaos либо сменила название на BlackSuit (Royal), либо управляется некоторыми из ее бывших участников», — сообщили исследователи.
«Эта оценка основана на сходстве тактик, техник и процедур, включая команды шифрования, тематику и структуру записок с требованием выкупа, а также использование LOLbins и RMM в атаках».
BlackSuit начал свою деятельность как программа-вымогатель Quantum в январе 2022 года и, как считается, является прямым преемником печально известного киберпреступного синдиката Conti. Хотя изначально они использовали шифровальщики других группировок (например, ALPHV/BlackCat), вскоре они внедрили собственный шифровальщик Zeon и в сентябре 2022 года переименовали его в программу-вымогатель Royal.
В июне 2023 года после атаки на город Даллас, штат Техас, группировка Royal, занимающаяся вымогательством, начала работать под названием BlackSuit после тестирования нового шифровальщика под названием BlackSuit на фоне слухов о ребрендинге.
CISA и ФБР впервые раскрыли в совместном консультативном заключении от ноября 2023 года, что Royal и BlackSuit придерживаются схожей тактики, в то время как их шифровальщики демонстрируют очевидные совпадения в кодировании. Та же рекомендация связала королевскую банду вымогателей с атаками, нацеленными на более чем 350 организаций по всему миру с сентября 2022 года, в результате чего требования о выкупе превысили 275 миллионов долларов.
Два агентстваподтвердилив августе 2024 года, что программа-вымогатель Royal сменила название на BlackSuit и с момента своего появления более двух лет назад потребовала от жертв более 500 миллионов долларов.
• Source: https://www.bleepingcomputer[.]com/news/security/law-enforcement-seizes-blacksuit-ransomware-leak-sites/