Техническая инфраструктура BlackSuit была захвачена в ходе скоординированной на международном уровне операции по её уничтожению в прошлом месяце, которую власти назвали серьёзным ударом по борьбе с киберпреступностью. На сайте, где была обнаружена утечка данных группы-вымогателя, с 24 июля было опубликовано уведомление о захваченной инфраструктуре.
Блокировка сайта стала результатом длительного расследования, которое позволило властям конфисковать «значительный объём данных» и идентифицировать 184 жертвы, заявили официальные лица Германии в пресс-релизе на прошлой неделе. Общая сумма вымогательств, вымогаемых группировкой, к августу 2024 года превысила 500 миллионов долларов, при этом, как правило, требования составляли от 1 до 10 миллионов долларов, как сообщило Агентство кибербезопасности и безопасности инфраструктуры в прошлом году в своём информационном сообщении.
Власти США принимали активное участие в операции, но пока не обнародовали подробности расследования или его результаты. Сайт BlackSuit, занимавшийся вымогательством, был обнаружен Отделом расследований по вопросам внутренней безопасности Министерства внутренней безопасности США, подразделением Иммиграционной и таможенной полиции США.
Представитель ICE сообщил CyberScoop, что Министерство юстиции ждало обнародования судебных документов, прежде чем публиковать какую-либо информацию о правоохранительной операции под названием «Шах и мат». В операции также участвовали ФБР, Секретная служба, Европол и кибербезопасность из Великобритании, Германии, Франции, Ирландии, Украины, Литвы и румынская компания Bitdefender, специализирующаяся на кибербезопасности.
Немецкие официальные лица заявили, что удаление предотвратило распространение вредоносного ПО и нарушило работу серверов и коммуникационных систем BlackSuit. Как сообщает Bitdefender в блоге , сайт утечки данных BlackSuit содержал более 150 записей до удаления.
По данным Bitdefender, большинство жертв BlackSuit находились в США, а наиболее пострадавшими от атак группы вымогателей были такие отрасли, как производство, образование, здравоохранение и строительство. Компания не ответила на запрос о комментарии.
Хотя когда-то BlackSuit привлекала к себе повышенное внимание из-за постоянных атак, по словам исследователей, активность группы вымогателей существенно снизилась с декабря и оставалась низкой до тех пор, пока ее инфраструктура не была нарушена в прошлом месяце.
Сообщники BlackSuit были разогнаны еще до начала глобальных действий правоохранительных органов по пресечению деятельности группировки.
Как сообщил CyberScoop Елисей Богуславский, соучредитель и партнер RedSense, последствия от удаления будут ограниченными, поскольку участники уже отказались от бренда BlackSuit в начале этого года.
По его словам, репутация BlackSuit резко упала после того, как жертвы узнали о российском происхождении группировки в киберпреступности и отказались платить вымогательства из-за страха, что любая финансовая поддержка позволит обойти санкции, введенные Управлением по контролю за иностранными активами Министерства финансов США.
В рамках этого поворота бывшие члены BlackSuit в этом году в основном использовали вирус-вымогатель INC и связанную с ним инфраструктуру.
«Дело не в том, что они готовились к закрытию в кратчайшие сроки. Скорее, они просто почувствовали усталость от бренда», — сказал Богуславский. «Они очень часто проводят ребрендинг. Два года не было ребрендинга, так что он был на подходе, а пока они использовали INC как новое название без какого-либо багажа».
BlackSuit выделился из группы вымогателей Conti после того, как крупная утечка внутренних сообщений Conti привела к ее распаду в 2022 году. Участники русскоязычного коллектива вымогателей провели ребрендинг, разделившись на три подгруппы: Zeon, Black Basta и Quantum, которая быстро сменила название на Royal, а затем снова на BlackSuit в 2024 году .
«Расширение возможностей INC является важнейшим событием в сфере русскоязычных программ-вымогателей, и тот факт, что теперь BlackSuit будет активнее использовать их инфраструктуру, вызывает большую обеспокоенность», — заявил Богуславский.
По словам Богуславского , синдикат программ-вымогателей состоит примерно из 40 человек во главе со «Стерном», который создал масштабную систему альянсов, образовав децентрализованный коллектив со связями с другими группами программ-вымогателей, включая Akira , ALPHV , REvil , Hive и LockBit .
По его словам, в настоящее время INC является вторым по величине коллективом русскоязычных программ-вымогателей после DragonForce.
По данным исследователей из подразделения Sophos Counter Threat Unit, BlackSuit был плодовитым: начиная с мая 2023 года на его специальном сайте утечек жертвами стали более 180 человек.
Основные участники группировки вирусов-вымогателей продемонстрировали свою способность легко менять название и возобновлять операции. «Вероятно, это последнее закрытие окажет минимальное влияние на способность стоящих за ним лиц реорганизоваться под новым именем», — говорится в исследовательской записке Sophos CTU.
Бывшие участники BlackSuit появились в составе новой группы вирусов-вымогателей Chaos ещё в феврале, сообщили исследователи Cisco Talos Incident Response в публикации в блоге, опубликованной в тот же день, когда была захвачена техническая инфраструктура BlackSuit. По данным Talos, цели атак Chaos, по-видимому, носят случайный характер, и жертвы в основном находятся в США.
В апреле ФБР изъяло криптовалюту, предположительно контролируемую членом группировки Chaos, занимающейся вирусным мошенничеством, сообщило Министерство юстиции в гражданском иске, поданном в прошлом месяце, с требованием конфискации криптовалюты. По словам официальных лиц, стоимость изъятой криптовалюты на момент её изъятия в середине апреля составляла более 1,7 миллиона долларов .
Блокировка сайта стала результатом длительного расследования, которое позволило властям конфисковать «значительный объём данных» и идентифицировать 184 жертвы, заявили официальные лица Германии в пресс-релизе на прошлой неделе. Общая сумма вымогательств, вымогаемых группировкой, к августу 2024 года превысила 500 миллионов долларов, при этом, как правило, требования составляли от 1 до 10 миллионов долларов, как сообщило Агентство кибербезопасности и безопасности инфраструктуры в прошлом году в своём информационном сообщении.
Власти США принимали активное участие в операции, но пока не обнародовали подробности расследования или его результаты. Сайт BlackSuit, занимавшийся вымогательством, был обнаружен Отделом расследований по вопросам внутренней безопасности Министерства внутренней безопасности США, подразделением Иммиграционной и таможенной полиции США.
Представитель ICE сообщил CyberScoop, что Министерство юстиции ждало обнародования судебных документов, прежде чем публиковать какую-либо информацию о правоохранительной операции под названием «Шах и мат». В операции также участвовали ФБР, Секретная служба, Европол и кибербезопасность из Великобритании, Германии, Франции, Ирландии, Украины, Литвы и румынская компания Bitdefender, специализирующаяся на кибербезопасности.
Немецкие официальные лица заявили, что удаление предотвратило распространение вредоносного ПО и нарушило работу серверов и коммуникационных систем BlackSuit. Как сообщает Bitdefender в блоге , сайт утечки данных BlackSuit содержал более 150 записей до удаления.
По данным Bitdefender, большинство жертв BlackSuit находились в США, а наиболее пострадавшими от атак группы вымогателей были такие отрасли, как производство, образование, здравоохранение и строительство. Компания не ответила на запрос о комментарии.
Хотя когда-то BlackSuit привлекала к себе повышенное внимание из-за постоянных атак, по словам исследователей, активность группы вымогателей существенно снизилась с декабря и оставалась низкой до тех пор, пока ее инфраструктура не была нарушена в прошлом месяце.
Сообщники BlackSuit были разогнаны еще до начала глобальных действий правоохранительных органов по пресечению деятельности группировки.
Как сообщил CyberScoop Елисей Богуславский, соучредитель и партнер RedSense, последствия от удаления будут ограниченными, поскольку участники уже отказались от бренда BlackSuit в начале этого года.
По его словам, репутация BlackSuit резко упала после того, как жертвы узнали о российском происхождении группировки в киберпреступности и отказались платить вымогательства из-за страха, что любая финансовая поддержка позволит обойти санкции, введенные Управлением по контролю за иностранными активами Министерства финансов США.
В рамках этого поворота бывшие члены BlackSuit в этом году в основном использовали вирус-вымогатель INC и связанную с ним инфраструктуру.
«Дело не в том, что они готовились к закрытию в кратчайшие сроки. Скорее, они просто почувствовали усталость от бренда», — сказал Богуславский. «Они очень часто проводят ребрендинг. Два года не было ребрендинга, так что он был на подходе, а пока они использовали INC как новое название без какого-либо багажа».
BlackSuit выделился из группы вымогателей Conti после того, как крупная утечка внутренних сообщений Conti привела к ее распаду в 2022 году. Участники русскоязычного коллектива вымогателей провели ребрендинг, разделившись на три подгруппы: Zeon, Black Basta и Quantum, которая быстро сменила название на Royal, а затем снова на BlackSuit в 2024 году .
«Расширение возможностей INC является важнейшим событием в сфере русскоязычных программ-вымогателей, и тот факт, что теперь BlackSuit будет активнее использовать их инфраструктуру, вызывает большую обеспокоенность», — заявил Богуславский.
По словам Богуславского , синдикат программ-вымогателей состоит примерно из 40 человек во главе со «Стерном», который создал масштабную систему альянсов, образовав децентрализованный коллектив со связями с другими группами программ-вымогателей, включая Akira , ALPHV , REvil , Hive и LockBit .
По его словам, в настоящее время INC является вторым по величине коллективом русскоязычных программ-вымогателей после DragonForce.
По данным исследователей из подразделения Sophos Counter Threat Unit, BlackSuit был плодовитым: начиная с мая 2023 года на его специальном сайте утечек жертвами стали более 180 человек.
Основные участники группировки вирусов-вымогателей продемонстрировали свою способность легко менять название и возобновлять операции. «Вероятно, это последнее закрытие окажет минимальное влияние на способность стоящих за ним лиц реорганизоваться под новым именем», — говорится в исследовательской записке Sophos CTU.
Бывшие участники BlackSuit появились в составе новой группы вирусов-вымогателей Chaos ещё в феврале, сообщили исследователи Cisco Talos Incident Response в публикации в блоге, опубликованной в тот же день, когда была захвачена техническая инфраструктура BlackSuit. По данным Talos, цели атак Chaos, по-видимому, носят случайный характер, и жертвы в основном находятся в США.
В апреле ФБР изъяло криптовалюту, предположительно контролируемую членом группировки Chaos, занимающейся вирусным мошенничеством, сообщило Министерство юстиции в гражданском иске, поданном в прошлом месяце, с требованием конфискации криптовалюты. По словам официальных лиц, стоимость изъятой криптовалюты на момент её изъятия в середине апреля составляла более 1,7 миллиона долларов .
