حملات باجافزاری Royal و BlackSuit بیش از ۴۵۰ شرکت آمریکایی را هدف قرار داد
وزارت امنیت داخلی ایالات متحده (DHS) اعلام کرد که گروه cybercrime مسئول عملیات باجافزاری Royal و BlackSuit، پیش از انهدام در ماه گذشته، به صدها شرکت آمریکایی نفوذ کرده بود.
بازوی اصلی تحقیقات این وزارتخانه، یعنی Homeland Security Investigations (HSI)، که با همکاری نهادهای بینالمللی مجری قانون، زیرساخت این گروه را از کار انداخت، افزود که این مجرمان سایبری بیش از ۳۷۰ میلیون دلار از قربانیان خود دریافت کردهاند.
HSI در بیانیه خبری روز پنجشنبه اعلام کرد:
«از سال ۲۰۲۲، گروههای باجافزاری Royal و BlackSuit به بیش از ۴۵۰ قربانی شناختهشده در ایالات متحده نفوذ کردهاند که شامل سازمانهایی در بخشهای healthcare، education، public safety، energy و government میشود.»
«این دو گروه در مجموع بیش از ۳۷۰ میلیون دلار ransom payment دریافت کردهاند که بر اساس ارزش فعلی cryptocurrency محاسبه شده است. این طرحهای باجافزاری از تاکتیک double-extortion استفاده میکردند — رمزگذاری سیستمهای قربانیان همراه با تهدید به انتشار دادههای سرقتشده برای وادار کردن بیشتر آنها به پرداخت.»
وزارت دادگستری ایالات متحده در تاریخ ۲۴ ژوئیه تأیید کرد که نیروهای مجری قانون، دامنههای dark web extortion متعلق به گروه BlackSuit را توقیف کرده و بهعنوان بخشی از یک عملیات مشترک بینالمللی با نام رمز Operation Checkmate، محتوای leak sites این گروه را با بنرهای توقیف جایگزین کردهاند.
گروه cybercrime پشت این دو عملیات باجافزاری، نخستین بار در ژانویه ۲۰۲۲ با نام Quantum ransomware ظاهر شد و گمان میرفت که جانشین Conti cybercrime syndicate مشهور باشد. این گروه در ابتدا از encryptorهای سایر گروهها (مانند ALPHV/BlackCat) استفاده میکرد، اما بعداً encryptor اختصاصی خود با نام Zeon را توسعه داد و در سپتامبر ۲۰۲۲ با برند Royal ransomware فعالیت خود را ادامه داد.
در ژوئن ۲۰۲۳، پس از هدف قراردادن City of Dallas, Texas و آزمایش encryptor جدیدی به نام BlackSuit، گروه Royal ransomware بهطور کامل به برند BlackSuit تغییر نام داد.
CISA و FBI در یک هشدار مشترک در نوامبر ۲۰۲۳ تأیید کردند که Royal و BlackSuit تاکتیکهای مشابهی دارند و Royal ransomware gang را به حملات علیه بیش از ۳۵۰ سازمان در سراسر جهان از سپتامبر ۲۰۲۲ مرتبط دانستند که منجر به درخواست بیش از ۲۷۵ میلیون دلار ransom شد.
در آگوست ۲۰۲۴، دو نهاد مذکور در یک هشدار مشترک دیگر تأیید کردند که Royal ransomware به برند BlackSuit تغییر نام داده و از زمان آغاز فعالیت خود بیش از دو سال پیش، بیش از ۵۰۰ میلیون دلار از قربانیان درخواست کرده است.
تغییر نام به Chaos ransomware
پس از انهدام زیرساخت BlackSuit، گروه تحقیقات threat intelligence شرکت Cisco Talos شواهدی یافته است که نشان میدهد گروه BlackSuit ransomware احتمالاً قصد دارد مجدداً با نام Chaos ransomware فعالیت کند.
عملیات جدید ransomware-as-a-service (RaaS) این مجرمان سایبری، پیش از این به حملات double extortion مرتبط شده است که در آن با استفاده از voice-based social engineering به سیستمها نفوذ کرده و encryptorای را مستقر میکنند که هم ذخیرهسازی محلی و هم ذخیرهسازی راهدور را برای حداکثر خسارت هدف قرار میدهد.
محققان Talos گفتند:
«Talos معتقد است Chaos ransomware جدید با نسخههای پیشین تولیدشده توسط Chaos builder ارتباطی ندارد و این گروه برای ایجاد سردرگمی از همان نام استفاده میکند.»
«Talos با اطمینان متوسط ارزیابی میکند که گروه جدید Chaos ransomware یا یک تغییر برند از BlackSuit (Royal) ransomware است یا توسط برخی اعضای سابق آن اداره میشود. این ارزیابی بر اساس شباهتها در TTPs، شامل دستورات رمزگذاری، تم و ساختار ransom note، و استفاده از LOLBins و ابزارهای RMM در حملات آنها صورت گرفته است.»
