JAV Tėvynės saugumo departamentas (DHS) sako, kad kibernetinių nusikaltimų gauja, esanti už karališkosios ir juodos spalvos „Ransomware“ operacijų, pažeidė šimtus JAV kompanijų, prieš tai buvo pašalinta praėjusį mėnesį.
Tėvynės saugumo tyrimai (HSI), pagrindinė DHS tyrimo dalis, kuri sumažino grupės infrastruktūrą bendradarbiaudama su tarptautiniais teisėsaugos partneriais, pridūrė, kad kibernetiniai nusikaltėliai iš jų aukų taip pat surinko daugiau nei 370 milijonų dolerių.
„Nuo 2022 m. Karališkosios ir juodos spalvos„ Ransomware “grupės pakenkė daugiau nei 450 žinomų aukų JAV, įskaitant sveikatos priežiūros, švietimo, visuomenės saugumo, energetikos ir vyriausybės sektorių subjektus“, – sakė HSI ketvirtadienio pranešime spaudai.
„Sujungusios, kad grupės gavo daugiau nei 370 mln. USD išpirkos išmokų, remiantis šių dienų kriptovaliutos vertinimais. Ransomware schemose buvo naudojama dvigubo išmetimo taktika-šifravimo aukų sistemomis, tuo pačiu grasindamos nutekėti pavogtiems duomenims, kad būtų galima dar labiau susilaikyti mokėjimą.”
Liepos 24 d. JAV teisingumo departamentas patvirtino, kad teisėsauga užgrobė „Blacksuit“ tamsius interneto turto prievartavimo domenus, pakeisdama gaujos nuotėkio svetainių turinį priepuolių reklaminiais popieriais, kaip bendros tarptautinių veiksmų koduotų operacijų „Checkmate“ dalį.
Šių dviejų „Ransomware“ operacijų kibernetinių nusikaltimų grupė 2022 m. Sausio mėn. Pasirodė kaip „Quantum Ransomware“ ir buvo manoma, kad ji yra garsaus Conti kibernetinių nusikaltimų sindikato įpėdinis. Nors iš pradžių jie dislokavo šifravatorius iš kitų grupių (pvz., „AlphV/Blackcat“), vėliau jie sukūrė savo „Zeon“ šifravimą, perregistruodami kaip „Royal Ransomware“ kaip „Royal Ransomware“ 2022 m. Rugsėjo mėn.
2023 m. Birželio mėn., Taikant Dalaso miestą, Teksasą, ir išbandęs naują šifrptorių, pavadintą „Blacksit“, „Royal Ransomware Gang“ perėjo prie „Blacksuit“ prekės ženklo.
CISA ir FTB 2023 m. Lapkričio mėn. Patvirtino, kad „Royal“ ir „Blacksit“ dalijosi panašia taktika, susiejant „Royal Ransomware“ gaują su išpuoliais, skirtais daugiau nei 350 organizacijų visame pasaulyje nuo 2022 m. Rugsėjo mėn., Todėl išpirkos reikalavimai viršijo 275 mln. USD.
2024 m. Rugpjūčio mėn. Bendras dviejų agentūrų patarimas vėliau patvirtino, kad „Royal Ransomware“ perrašė prekės ženklą ir pareikalavo daugiau nei 500 milijonų dolerių iš aukų nuo jos atsiradimo daugiau nei prieš dvejus metus.
„Chaos Ransomware“ prekės ženklo prekės ženklas
Kadangi „Blacksuit“ infrastruktūra buvo išardyta, „Cisco Talos“ grėsmės žvalgybos tyrimų grupė rado įrodymų, rodančių, kad „Blacksuit Ransomware Gang“ dabar greičiausiai vėl prekės ženklą pakeis kaip „Chaos Ransomware“.
Naujoji „CyberCriminals“ „Ransomware-A-A-Service“ (RAAS) operacija jau buvo susieta su dvigubo turto prievartavimo atakomis, kur jie naudoja balso pagrindu sukurtą socialinę inžineriją prieigai ir dislokuoti šifryptor, kuri nukreipta į vietinę ir nuotolinę saugyklą, kad būtų maksimali žala.
„Talos mano, kad naujoji„ Chaos Ransomware “yra nesusijusi su ankstesniais„ Chaos Builder “sukurtais variantais, nes grupė naudoja tą patį pavadinimą painiavai“,-teigė tyrėjai.
„Talos su vidutinio stiprumo pasitikėjimu vertina, kad naujoji„ Chaos Ransomware “grupė yra arba„ Blacksuit “(„ Royal “) išpirkos programos prekės ženklo prekės ženklo, arba valdo kai kurie buvę jos nariai.
„Šis vertinimas grindžiamas TTP panašumais, įskaitant šifravimo komandas, išpirkos užrašo temą ir struktūrą bei LOLBINS ir RMM įrankių naudojimą jų atakose.”
Kenkėjiškos programos, nukreiptos į slaptažodžių parduotuves, išaugo 3x, nes užpuolikai įvykdė slaptus tobulus „Heist“ scenarijus, įsiskverbė ir išnaudojo kritines sistemas.
Atraskite 10 geriausių „Miter ATT & CK“ technikų, esančių už 93% išpuolių ir kaip gintis nuo jų.
