As autoridades apreenderam os sites de vazamento na dark web da operação de ransomware BlackSuit, que teve como alvo e violou as redes de centenas de organizações em todo o mundo nos últimos anos.
O Departamento de Justiça dos EUA confirmou o fechamento em um e-mail mais cedo hoje, dizendo que as autoridades envolvidas na ação executaram uma apreensão autorizada por tribunal dos domínios BlackSuit.
Mais cedo hoje, os sites nos domínios .onion do BlackSuit foram substituídos por banners de apreensão anunciando que os sites do grupo de ransomware foram desativados pela agência de aplicação da lei federal U.S.
Homeland Security Investigations como parte de uma ação internacional conjunta codinome Operação Checkmate.
"Este site foi apreendido pela U.S. Homeland Security Investigations como parte de uma investigação de aplicação da lei internacional coordenada", lê-se no banner.
Outras autoridades de aplicação da lei que se juntaram a esta operação conjunta incluem o U.S.
Secret Service, a Polícia Nacional Holandesa, o Escritório de Polícia Criminal do Estado Alemão, a Agência Nacional de Crime do Reino Unido, o Escritório do Promotor Geral de Frankfurt, o Departamento de Justiça, a Polícia Cibernética Ucraniana, a Europol, entre outros.
A empresa romena de cibersegurança Bitdefender também participou da ação, mas um porta-voz ainda não respondeu depois que o site BleepingComputer entrou em contato para obter mais detalhes mais cedo hoje.
Na quinta-feira, o grupo de pesquisa de inteligência de ameaças Cisco Talos relatou que encontrou evidências sugerindo que o grupo de ransomware BlackSuit provavelmente se reinventaria novamente como Chaos ransomware.
"A Talos avalia com confiança moderada que o novo grupo Chaos ransomware é ou uma reinvenção do ransomware BlackSuit (Royal) ou operado por alguns de seus ex-membros", disseram os pesquisadores.
Essa avaliação é baseada nas semelhanças em TTPs, incluindo comandos de criptografia, o tema e a estrutura da nota de resgate, e o uso de LOLbins e ferramentas RMM em seus ataques.
O BlackSuit começou como Quantum ransomware em janeiro de 2022 e acredita-se ser o sucessor direto do notório sindicato de cibercrime Conti.
Enquanto inicialmente usaram encryptors de outros grupos (como ALPHV/BlackCat), eles implantaram seu próprio encryptor Zeon logo depois e se reinventaram como Royal ransomware em setembro de 2022.
Em junho de 2023, após visar a cidade de Dallas, Texas, o grupo Royal ransomware começou a operar sob o nome BlackSuit, após o teste de um novo encryptor chamado BlackSuit em meio a rumores de um rebranding.
CISA e o FBI revelaram pela primeira vez em um aviso conjunto de novembro de 2023 que Royal e BlackSuit compartilham táticas similares, enquanto seus encryptors exibem sobreposições de codificação óbvias.
O mesmo aviso vinculou o grupo Royal ransomware a ataques direcionados a mais de 350 organizações em todo o mundo desde setembro de 2022, resultando em demandas de resgate que excedem $275 milhões.
As duas agências confirmaram em agosto de 2024 que o ransomware Royal havia sido reinventado como BlackSuit e havia exigido mais de $500 milhões das vítimas desde que surgiu mais de dois anos antes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...