Międzynarodowa akcja służb kończy działalność BlackSuit w darknecie
W ramach szeroko zakrojonej operacji o kryptonimie Checkmate organy ścigania przejęły infrastrukturę gangu ransomware BlackSuit, odpowiedzialnego za falę ataków na sektor publiczny, zdrowotny, finansowy i administrację. 26 lipca wszystkie aktywne strony.onion, wykorzystywane przez grupę do publikowania wycieków danych ofiar, zostały zastąpione banerami przejęcia. W akcję zaangażowane były m.in. Homeland Security Investigations, U.S. Secret Service, niemiecka policja LKA, brytyjska National Crime Agency, Europol oraz ukraińska policja cybernetyczna. Grupa BlackSuit, działająca wcześniej jako Quantum i Royal, ma na koncie liczne kampanie ransomware o globalnym zasięgu. Wykorzystywała własne narzędzia szyfrujące, a według danych FBI i CISA jej działania wygenerowały żądania okupu przekraczające 500 milionów dolarów. Infrastruktura grupy była wykorzystywana do publikowania skradzionych danych i presji na ofiary, które odmawiały zapłaty.
Rebranding na horyzoncie – BlackSuit może działać dalej jako Chaos
Eksperci z Cisco Talos ostrzegają, że rozbicie BlackSuit nie oznacza definitywnego końca działalności grupy. Nowy szczep ransomware, nazwany Chaos, wykazuje liczne podobieństwa do wcześniejszych kampanii prowadzonych przez Royal i BlackSuit. Obejmują one m.in. metody szyfrowania, strukturę żądań okupu, użycie legalnych narzędzi systemowych oraz techniki unikania wykrycia. Według analityków istnieje wysokie prawdopodobieństwo, że Chaos to kolejne wcielenie tej samej grupy lub jej rozłamowców. W przeszłości grupa zmieniała szyld po głośnych akcjach – jak atak na miasto Dallas – aby uniknąć wykrycia i kontynuować działania operacyjne. Choć przejęcie stron w darknecie to istotny sukces służb, kampania ransomware o podobnej charakterystyce może wkrótce powrócić w nowej formie.
