BlackSuit elleni nemzetközi művelet
A BlackSuit (korábban Royal) zsarolóvírus-csoport elleni összehangolt nemzetközi művelet során leállították a csoport infrastruktúráját. A felderítést és végrehajtást az Egyesült Államok illetékes hatóságai – köztük a Department of Homeland Security (HSI), a Secret Service, az FBI és az IRS Criminal Investigation – koordinálták más országokkal, köztük az Egyesült Királyságot, Németországot, Franciaországot, Kanadát, Írországot, Ukrajnát és Litvániát.
A művelet során sikerült hatástalanítani négy szervert és kilenc domaint, amelyek korábban a BlackSuit (Royal) csoport zsarolóvírus-tevékenységeit támogatták –a zsarolás indítását, az adatlopást és következményes fenyegetést (double extortion), valamint a pénzmosást. Emellett egy 1 091 453 USD értékű kriptovaluta letétet is lefoglalt a hatóság a csoport korábbi áldozatának tranzakciói alapján. Az említett összeg egy részét korábban egy, működő virtuális pénztárcán keresztül próbálták megszerezni és mozgatni, de januárban egy tőzsde befagyasztotta és a bírósági végzéssel egyidejűleg került hatósági felügyelet alá.
A BlackSuit / Royal csoport 2022 óta tevékeny a kibertérben, mintegy 450 szervezetet ért el az Egyesült Államokban, több mint 370 millió dollárnyi váltságdíjat követelve és begyűjtve. Célpontjai között kritikus infrastruktúrák – egészségügyi intézmények, oktatási szervezetek, kormányzati és közszolgáltató egységek – szerepeltek.
A tájékoztatók hangsúlyozzák, hogy ez a művelet nem csupán néhány szervert kapcsolt ki. Ez a tervezett, proaktív disruption-first stratégia része volt, amelynek célja a zsaroló csoport tevékenységének alapvető struktúrájának lebontása. Michael Prado, az HSI bűnügyi osztályának helyettes igazgatója szerint az akció célja az volt, hogy a fenyegető infrastruktúrát olyan mértékben szüntessék meg, hogy a bűnözők ne tudjanak ismét üzemképes hálózatot létrehozni.
Ugyanakkor a hatóságok óvatosságra intenek, tapasztalataik szerint a zsarolóvírus-csoportok gyakran újraélednek – új identitás alatt újra felbukkanhatnak, mint ahogy az a BlackSuit esetében is történt. A Cisco Talos elemzése szerint az újonnan megjelent Chaos RaaS csoport ugyanazokat a módszereket alkalmazza, ami arra utal, hogy a művelet hatására csak névleg változott meg a működő hálózat – ugyanaz a bűnözői szereplő maradhat a háttérben.
