CISA ve FBI bugün, Royal fidye yazılımının BlackSuit olarak yeniden adlandırıldığını ve iki yıldan uzun bir süre önce ortaya çıktığından beri kurbanlarından 500 milyon doların üzerinde para talep ettiğini doğruladı.
Bu yeni bilgi, Mart 2023’te yayınlanan ve BlackSuit çetesinin Eylül 2022’den beri aktif olduğunu belirten ortak bir duyurunun güncellemesi olarak paylaşıldı.
Ancak bu özel grubun, kötü şöhretli Conti siber suç örgütünün doğrudan halefi olduğuna ve Ocak 2022’de Quantum fidye yazılımı olarak başladığına inanılıyor.
Başlangıçta istenmeyen dikkatleri üzerilerine çekmekten kaçınmak için başka çetelerin şifreleyicilerini (örneğin ALPHV/BlackCat) kullansalar da, kısa bir süre sonra kendi Zeon şifreleyicilerini kullanmaya başladılar ve Eylül 2022’de isimlerini Royal olarak değiştirdiler.
Haziran 2023’te Teksas’ın Dallas şehrine saldırdıktan sonra, Royal fidye yazılımı operasyonu, yeniden markalama söylentileri arasında BlackSuit adlı yeni bir şifreleyiciyi test etmeye başladı. O zamandan beri BlackSuit adı altında faaliyet gösteriyorlar ve Royal Fidye Yazılımı saldırıları tamamen durdu.
FBI ve CISA, Çarşamba günü orijinal duyurularına yaptıkları güncellemede, “BlackSuit fidye yazılımı, daha önce Royal fidye yazılımı olarak tanımlanan ve yaklaşık olarak Eylül 2022’den Haziran 2023’e kadar kullanılan fidye yazılımının evrimleşmiş halidir. BlackSuit, Royal fidye yazılımıyla çok sayıda kodlama benzerliğine sahiptir ve gelişmiş yetenekler sergilemiştir” ifadelerini doğruladı.
“Fidye talepleri genellikle yaklaşık 1 milyon ila 10 milyon ABD doları arasında değişiyor ve ödeme Bitcoin ile talep ediliyor. BlackSuit aktörleri toplamda 500 milyon ABD dolarının üzerinde talepte bulundu ve en büyük bireysel fidye talebi 60 milyon ABD dolarıydı.”
Mart 2023’te ve ardından Kasım 2023’te yapılan bilgilendirme güncellemesinde, iki kurum, çetenin ağlarına fidye yazılımı dağıtma girişimlerini engellemelerine yardımcı olmak için tehlike göstergelerini ve bir dizi taktik, teknik ve prosedür (TTP) paylaştı.
CISA ve FBI ayrıca BlackSuit çetesini Eylül 2022’den bu yana 350’den fazla örgüte yönelik saldırılarla ve en az 275 milyon dolarlık fidye talepleriyle ilişkilendirdi.
Ortak uyarı ilk olarak, Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) güvenlik ekibinin Aralık 2022’de fidye yazılımı operasyonunun ABD genelindeki sağlık kuruluşlarını hedef alan çok sayıda saldırının arkasında olduğunu açıklamasının ardından yayınlandı.
Son olarak, birden fazla kaynak BleepingComputer’a, BlackSuit fidye yazılımı çetesinin, Kuzey Amerika genelinde 15.000’den fazla araba bayisinin operasyonlarını aksatan büyük bir CDK Global BT kesintisinin arkasında olduğunu söyledi.
Geçtiğimiz ay yaşanan saldırıdan sonra yaşanan bu yaygın kesinti, CDK’nın olayı kontrol altına almak için BT sistemlerini ve veri merkezlerini kapatmasına ve otomobil bayilerinin kalem ve kağıt kullanımına geçmesine neden oldu; bu da alıcıların araba satın almasını veya halihazırda satın alınmış araçlar için servis almasını imkansız hale getirdi.