Программа-вымогатель BlackSuit и операции Royal взломали более 450 американских компаний
Министерство внутренней безопасности США сообщает, что преступные группировки, стоящие за операциями по распространению вирусов-вымогателей Royal и BlackSuit, взломали более 450 американских организаций и собрали около 370 миллионов долларов выкупа, прежде чем правоохранительные органы нарушили работу их инфраструктуры. Расследование Министерства внутренней безопасности совместно с международными партнерами возглавило операцию по пресечению атак, включавшую в себя арест доменов, вымогавших компьютеры.
Масштаб кампании и ее удаление
По данным HSI, кампания длилась с 2022 года и затронула организации из различных секторов. По данным ведомств, группировки использовали тактику двойного вымогательства, шифровали системы и угрожали публикацией украденных данных для получения платежей. 24 июля Министерство юстиции США объявило, что несколько сайтов BlackSuit, содержащих утечки данных, были изъяты и заменены баннерами правоохранительных органов в рамках операции «Шах и мат».
«С 2022 года группировки вымогателей Royal и BlackSuit атаковали более 450 известных жертв в США, включая организации в сфере здравоохранения, образования, общественной безопасности, энергетики и государственного управления», — говорится в заявлении HSI .
Пострадали следующие секторы:
- Здравоохранение, образование и общественная безопасность
- Энергетика и государственные структуры
Истоки, ребрендинг и инструменты, используемые группами
Преступная группировка впервые появилась в январе 2022 года под названием Quantum Ransomware и широко считается преемницей синдиката Conti. Позже злоумышленники разработали собственный шифратор Zeon и в сентябре 2022 года переименовались в Royal. После тестирования нового шифратора в середине 2023 года и громких инцидентов, таких как атака на город Даллас, группировка начала действовать под названием BlackSuit.
Ранее федеральные агентства связывали эту группировку с сотнями инцидентов по всему миру. В информационном бюллетене CISA и ФБР от ноября 2023 года группировка Royal/BlackSuit была связана с атаками на более чем 350 организаций. В информационном бюллетене от августа 2024 года отмечалась её постоянная активность и высокие требования выкупа на протяжении всего существования группировки.
Доказательства очередного ребрендинга на «Хаос»
Исследователи Cisco Talos сообщили о следах, указывающих на то, что группа может вновь появиться под названием Chaos ransomware. Talos обнаружил сходство в тактике, методах и процедурах — командах шифрования, структуре записок с требованием выкупа, использовании исполняемых файлов «life-off-the-land» и инструментов удалённого управления, — что указывает на повторное использование методов одними и теми же или тесно связанными злоумышленниками.
«Talos с умеренной уверенностью оценивает, что новая группировка вирусов-вымогателей Chaos либо является ребрендингом вируса-вымогателя BlackSuit (Royal), либо ею управляют некоторые из ее бывших членов», — говорится в анализе Talos.
Воздействие, выплаты и международный ответ
По данным HSI, группировки собрали у жертв более 370 миллионов долларов в криптовалюте. Действия правоохранительных органов привели к разрушению инфраструктуры вымогательства банды и к публикации уведомлений о конфискации средств на нескольких сайтах утечки данных. Власти охарактеризовали это задержание как международную акцию с участием множества партнёров, направленную на прекращение продолжающейся вымогательской деятельности.
Изъятие, сделанное Министерством юстиции, и сообщение Министерства внутренней безопасности не означают завершения текущих расследований. Ведомства продолжают публиковать руководства и рекомендации, помогающие организациям оценивать степень подверженности риску и реагировать на аналогичные угрозы.
About The Author
