Numa ação coordenada a nível global, as autoridades policiais conseguiram apreender os sites na dark web pertencentes ao grupo de ransomware BlackSuit. Esta operação de cibersegurança visava o grupo que, ao longo dos últimos anos, foi responsável por atacar e comprometer as redes de centenas de organizações em todo o mundo.
O Departamento de Justiça dos EUA confirmou o desmantelamento no início do dia, detalhando que a apreensão dos domínios do BlackSuit foi executada com autorização judicial. Os websites do grupo nos seus domínios .onion foram substituídos por um aviso que anunciava a tomada dos sites pela agência federal norte-americana Homeland Security Investigations.
Operação Checkmate em detalhe
A ação, com o nome de código "Operação Checkmate", resultou na exibição de um banner nos sites apreendidos com a mensagem: "Este site foi apreendido pela U.S. Homeland Security Investigations como parte de uma investigação policial internacional coordenada". Fontes confirmaram que entre os sites desativados estão os blogues de fuga de dados e as plataformas de negociação que o grupo utilizava para extorquir as suas vítimas e exigir o pagamento de resgates.
Esta foi uma operação conjunta que contou com a participação de várias agências internacionais, incluindo o Serviço Secreto dos EUA, a Polícia Nacional Holandesa, a Polícia Criminal do Estado Alemão, a Agência Nacional do Crime do Reino Unido, a Procuradoria-Geral de Frankfurt, o Departamento de Justiça, a Ciberpolícia Ucraniana e a Europol, entre outras. A empresa de ciberseguranças romena Bitdefender também esteve envolvida na ação.
A nova face do grupo chama-se Chaos
Recentemente, o grupo de investigação de ameaças Cisco Talos publicou um relatório onde revela ter encontrado provas que sugerem que o grupo BlackSuit está provavelmente a preparar um novo rebranding, desta vez sob o nome de Chaos ransomware. "A Talos avalia com confiança moderada que o novo grupo de ransomware Chaos é ou um rebranding do BlackSuit (Royal) ou operado por alguns dos seus antigos membros", afirmam os investigadores. Esta avaliação baseia-se em semelhanças nas táticas, técnicas e procedimentos, incluindo os comandos de encriptação, o tema e a estrutura da nota de resgate.
O BlackSuit iniciou a sua atividade como Quantum ransomware em janeiro de 2022 e acredita-se que seja um sucessor direto do infame sindicato do cibercrime Conti. Após uma fase inicial em que utilizaram encriptadores de outros grupos, desenvolveram o seu próprio software (Zeon) e fizeram um rebranding para Royal ransomware em setembro de 2022. Em junho de 2023, após um ataque notório à cidade de Dallas, no Texas, o grupo começou a operar sob o nome BlackSuit.
Um rasto de centenas de milhões em extorsão
Num aviso conjunto emitido em novembro de 2023, a CISA e o FBI já tinham revelado as semelhanças táticas entre o Royal e o BlackSuit. O mesmo aviso ligava o grupo Royal a ataques contra mais de 350 organizações a nível mundial desde setembro de 2022, resultando em exigências de resgate que ultrapassavam os 275 milhões de dólares (cerca de 255 milhões de euros).
Em agosto de 2024, as duas agências confirmaram que o Royal ransomware tinha mudado de nome para BlackSuit e que, desde o seu aparecimento há mais de dois anos, já tinha exigido mais de 500 milhões de dólares (aproximadamente 465 milhões de euros) às suas vítimas.
Nenhum comentário
Seja o primeiro!