США подтвердили ликвидацию группировки, занимавшейся распространением вируса-вымогателя BlackSuit, которая получила выкупы на сумму 370 миллионов долларов

Правоохранительные органы США предоставили новые подробности операции по уничтожению критической инфраструктуры, использовавшейся группировкой BlackSuit, занимающейся распространением вируса-вымогателя, после того как почти две недели назад сайт организации, на котором была размещена утечка , был заменен баннером с требованием удалить вредоносный код.

Группировка, которая изменила свое название с Royal после разрушительного нападения 2023 года, парализовавшего город Даллас, успешно атаковала более 450 организаций в США. По данным американских следователей, с момента своего появления в 2022 году банда получила более 370 миллионов долларов в виде выкупов.

«Постоянные атаки группировки BlackSuit, занимающейся распространением вируса-вымогателя, на объекты критической инфраструктуры США представляют серьезную угрозу общественной безопасности США», — заявил помощник генерального прокурора по национальной безопасности Джон Айзенберг.

Две недели назад в ходе операции, в которой участвовали полицейские из более чем девяти стран, включая Германию, Францию и Великобританию, были ликвидированы сайты вымогательской группировки в даркнете.

Список жертв банды на ее основном домене TOR, а также на ее страницах личных переговоров была заменена страницей-заставкой, в которой говорилось, что эти сайты были «захвачены Службой расследований внутренней безопасности США (HSI)» в рамках скоординированной международной операции.

В то время Министерство юстиции подтвердило факт нарушения работы сайта и ареста веб-сайта, но оставило ордер на арест засекреченным.

Опубликованные в четверг заявления стали первым признанием операции со стороны американских спецслужб. Немецкие официальные лица подтвердили факт операции на прошлой неделе, отметив, что они конфисковали техническую инфраструктуру, использовавшуюся группировкой.

«Был получен значительный объем данных, который сейчас анализируется для расследования и установления личности других преступников», — сообщили немецкие правоохранительные органы.

Официальные лица США заявили, что операция «привела к изъятию серверов, доменов и цифровых активов, которые использовались для развертывания программ-вымогателей, вымогательства у жертв и отмывания денег».

«Нарушение работы инфраструктуры программ-вымогателей — это не просто отключение серверов, это разрушение всей экосистемы, которая позволяет киберпреступникам действовать безнаказанно», — заявил заместитель помощника директора Центра по борьбе с киберпреступлениями HSI Майкл Прадо. «Эта операция — результат неустанной международной координации и демонстрирует нашу коллективную решимость привлечь к ответственности злоумышленников, занимающихся программами-вымогателями».

BlackSuit и Royal ответственны за десятки громких атак , нанесших неисчислимый ущерб. Группировка привлекла внимание правоохранительных органов нападением на Даллас , в результате которого был нанесен ущерб городским службам экстренной помощи , судам и правительству .

В прошлом году ФБР заявило , что группировка потребовала более 500 миллионов долларов в качестве выкупа, и после смены бренда продолжила выдвигать непомерные требования о выкупе, некоторые из которых достигали 60 миллионов долларов.

BlackSuit также взяла на себя ответственность за десятки нападений на американские начальные школы и колледжи, а также на известные компании и местные органы власти , включая японского гиганта по производству медальонов Kadokawa и зоопарк Тампа-Бэй .

В апреле 2024 года банда взяла на себя ответственность за нападение на организацию по сбору плазмы крови Octapharma, которое, по данным Американской ассоциации больниц , «привело к временному закрытию почти 200 центров сбора плазмы крови» по всей стране.

Специальный агент Управления уголовных расследований Секретной службы США Уильям Манчино заявил, что задержание стало «критическим ударом по инфраструктуре и операциям BlackSuit».

Уничтожение стало частью операции «Шахмат» — инициативы Европола, направленной против программ-вымогателей Royal и BlackSuit. Компания Bitdefender, специализирующаяся на кибербезопасности, помогала агентствам в проведении операции и заявила, что это «ещё один важный этап в борьбе с организованной киберпреступностью».

После ликвидации Cisco Talos опубликовала исследование, в котором говорится, что часть банды BlackSuit уже переключилась на создание новой операции по вымогательству под названием Chaos.

По данным Cisco, этот вирус-вымогатель похож на BlackSuit «из-за схожести методологии шифрования, структуры записки о выкупе и набора инструментов, используемых в атаках».

На прошлой неделе Министерство юстиции объявило об изъятии криптовалюты на сумму 2,4 млн долларов с криптовалютного адреса, предположительно связанного с членом группировки вымогателей Chaos, известной как «Hors». По их словам, эта группировка была связана с атаками программ-вымогателей на жертв в Техасе и других местах.