Daha önce Kraliyet olarak bilinen kötü şöhretli Blacksuit fidye yazılımı çetesi tarafından veya adına bir milyon dolarlık değerin üzerinde kripto para birimi varlığı, Temmuz ayında çokuluslu bir yayından kaldırma operasyonu önünde ele geçirildi, ABD Ulusal Suç Ajansı’ndan (NCA) destek alan ABD yetkilileri tarafından yönetildi ve Kanada, Lithuine’den Kanada, Fransa’dan siber polisler.
24 Temmuz’da gerçekleşen Operasyon Checkmate, dört sunucu ve dokuz alan adını çevrimdışı alan koordineli bir eylem gördü. ABD Adalet Bakanlığı (DOJ), bu hafta, 1.09 milyon dolar (800.000 £) değerinde kripto varlıklarının ele geçirilmesi emrinin, ABD’nin Virginia Doğu Bölgesi ve Columbia Bölgesi için ofisleri tarafından kapatıldığını açıkladı. Nöbetin kendisi birkaç ay önce gerçekleşti.
Söz konusu fonlar, 4 Nisan 2023’te veya civarında, 49.31’den fazla Bitcoin’i çözmeyi kabul eden bir kurban tarafından ödendi. Ödeme o sırada yaklaşık 1,45 milyon dolar değerinde idi. Bu toplamın bir kısmı, Ocak 2024’te borsa tarafından dondurulmadan önce defalarca bir sanal döviz hesabına yatırıldı ve geri çekildi.
Homeland Güvenlik Soruşturmalarında (HIS) Siber Suçlar Merkezi (HIS), Homeland Güvenlik Departmanı (HIS) müfettiş yardımcısı Michael Prado, “Fidye yazılımı altyapısını sadece sunucuları almakla ilgili değil, siber suçluların cezasızlıkla faaliyet göstermesini sağlayan tüm ekosistemi sökmekle ilgili” dedi.
Prado, “Bu operasyon yorulmak bilmeyen uluslararası koordinasyonun sonucudur ve fidye yazılımı aktörlerini sorumlu tutmak için kolektif kararımızı gösteriyor” dedi.
HSI Washington DC sorumlu özel ajan Christopher Heck’i ekledi: “Bu soruşturma, HSI’nın siber misyonunun tam erişimini ve kurbanları koruma konusundaki taahhüdümüzü yansıtıyor – küçük işletmeler, okul sistemleri veya hastaneler olsun.
Bu soruşturma, HSI’nın siber misyonunun tam erişimini ve kurbanları koruma taahhüdümüzü yansıtmaktadır. Bu fidye yazılım gruplarının arkasındaki altyapı, finans ve operatörleri hedeflemeye devam edeceğiz.
Christopher Heck, İç Güvenlik Soruşturmaları
Üretken bir fidye yazılımı aktörü olan blacksuit, muhtemelen Conti çetesine tarihi bağlantıları olan bireylerden oluşuyordu. İlk olarak 2022’nin başlarında ortaya çıktı, muhtemelen sonbaharda kendi şifrelemesiyle kraliyet olarak ortaya çıkmadan önce diğer çetelerin bir iştiraki olarak hareket etti. Teksas’taki Dallas şehrine büyük bir saldırının ardından Blacksuit olarak yeniden markalaşmaya devam etti, ancak daha sonra saldırılarının temposunu yeniden başlatmaya başladığında geçen yaza kadar sessiz kaldı.
Operasyonel yaşamı boyunca, Blacksuit’in sadece ABD’de yaklaşık 500 kurbana saldırdığı ve 370 milyon doların üzerinde ödeme aldığı düşünülmektedir.
Hedeflemesi, devlet organları, sağlık ve üretim gibi birçok kritik altyapı sektöründeki mağdurları içeriyordu. Belirtildiği gibi, en dikkat çekici kurbanlarından biri 2023 baharında saldırıya uğrayan Dallas şehriydi.
Bu rezil olayda, çete çalınan bir hesap kullanarak şehir hükümetinin sistemlerine erişebildi ve fidye yazılımı yükünü gerçekleştirmeden önce dört haftalık bir süre boyunca bir terabayt dosyası üzerinden eksfiltrat etti.
Blacksuit, oldukça standart bir çift şifreleme iş modeli işletirken, kurbanlarının verilerini şifreleme yaklaşımında, operatörlerinin bir dosyada ne kadar veri şifreleyeceğini seçmesine izin veren kısmi bir şifreleme yaklaşımı kullanarak biraz dikkat çekti. Bu taktik, çetenin daha hızlı çalışabileceği ve tespitten kaçabileceği anlamına geliyordu.
Görünüm hala kaos
Ortak operasyonun başarısına rağmen, fidye yazılımı aktörlerinin tespit edilmesi zordur ve köşeye sıkıştırıldığında, gölgelere eritme ve hatta yeni bir kimlik ile yeniden ortaya çıkma alışkanlığına sahiptir.
Blacksuit durumunda, çetenin bir sonraki yeniden markası zaten devam ediyor olabilir. Temmuz ayı sonlarında, Cisco Talos’taki araştırmacılar, eski Blacksuit operatörlerine kaos olarak adlandırılan bir Hizmet Olarak Fidye Yazılımı (RAAS) operasyonunu bağlayan Zeka yayınladılar.
Değerlendirmelerinde Cisco Talos ekibi, taktikler, teknikler ve prosedürlerdeki (TTP’ler) – şifreleme komutları, fidye notunun geniş teması ve yapısı ve saldırılarında benzer araçların kullanımı dahil olmak üzere, “Blacksanit fidye takımı veya bazı eski üyeleri tarafından işletilen bir şekilde yeniden markalaşmasının muhtemel olduğunu söyledi.