Хакерская группировка Royal провела ребрендинг и теперь действует под названием BlackSuit. Уже за первые месяцы своей новой активности вымогатели потребовали в общей сложности более $500 миллионов в качестве выкупа, а самый большой индивидуальный запрос выкупа составил $60 миллионов. ФБР и Агентство CISA обновили своё предупреждение о деятельности Royal, подтвердив давно ходившие слухи о том, что группа теперь именует себя BlackSuit. С сентября 2022 по июль 2023 года злоумышленники действовали под названием Royal, а с тех пор сменили имя на BlackSuit.
Анализ хакерского кода показал многочисленные сходства между Royal и BlackSuit, что и позволило установить связь между ними. BlackSuit, в свою очередь, продемонстрировал улучшенные возможности по сравнению с Royal. Фишинговые письма остаются основным методом получения первоначального доступа для хакеров. Затем отключается антивирусное ПО, эксфильтрируются большие объемы данных и запускаются программы-вымогатели.
В последних случаях жертвы получают звонки или электронные письма от вымогателей с угрозами и требованиями выкупа. По даннымSophos, несколько групп вымогателей используют такой метод для оказания давления на жертв и их клиентов, угрожая обнародовать данные. Однако такая тактика не сработала, поскольку компании чаще принимают решения о выплате выкупа, исходя из практических соображений – время простоя бизнеса и требования регуляторов.
Согласно новому техническому отчету ФБР, хакеры используют легитимные инструменты для перемещения по системам жертв, а в некоторых случаях используют реальные учетные записи для удаленного входа в системы. Киберпреступники также отключают антивирусное ПО и используют ПО для удаленного мониторинга и управления, чтобы поддерживать доступ к сетям жертв.
BlackSuit взяла на себя ответственность за несколько недавних атак, включая атаку на крупный японский медиаконгломерат Kadokawa и медицинскую компанию Octapharma Plasma.
Напомним, что группировка также в 2023 году зашифровала данные в ряде городских систем Далласа, используемых полицией, пожарными, судами и прочими службами. Полицейские до сих пор вынуждены вести все записи от руки, а пожарные жалуются, что получают недостаточно информации от диспетчеров, в связи с чем могут даже случайно приехать не на тот адрес.
Кроме того, Крупная технологическая компания CDK Global в июне стала жертвой атаки BlackSuit, которая парализовала работу серверов компании на 2 недели. В результате инцидента около 15000 автодилеров по всей территории США, включая сети Asbury, AutoNation, Group 1, Lithia и Sonic, столкнулись с остановкой продаж и регистрации автомобилей. В конечном итоге компания заплатила вымогателям $25 миллионов в биткоинах для восстановления своей деятельности.