Прокуратура Германии сообщила, что в результате совместной американо-европейской операции была конфискована инфраструктура, принадлежащая группировке BlackSuit, известной ransomware-атаками и ответственной за несколько крупных кибератак в последние годы.
В официальном заявлении [https://www.presseportal.de/blaulicht/pm/105578/6085950], опубликованном на этой неделе, немецкие власти заявили, что серверы и системы группировки были изъяты в ходе операции 24 июля. По их данным, операция позволила получить «значительный объем информации», который поможет установить причастных к атакам лиц.
Серверы BlackSuit были отключены, что остановило работу вредоносного ПО-вымогателя. В заявлении указано, что жертвами группировки стали 184 организации по всему миру, включая ряд объектов в Германии.
На момент публикации материала сайт BlackSuit в даркнете, который использовался для публикации украденных данных и шантажа жертв, перестал загружаться. На его месте появилось уведомление о конфискации, утверждающее, что ресурс был закрыт в рамках «скоординированного международного расследования правоохранительных органов».
По данным немецкой стороны, операция проводилась при поддержке подразделения ICE Homeland Security Investigations и Европола. Представители ICE не ответили на запрос о комментариях.
По сообщениям СМИ [https://www.bleepingcomputer.com/news/security/law-enforcement-seizes-blacksuit-ransomware-leak-sites/], власти США объявили о конфискации ранее на этой неделе. Неясно, привела ли операция к арестам.
BlackSuit входит в число наиболее активных ransomware-группировок [https://www.cisa.gov/news-events/alerts/2024/08/07/royal-ransomware-actors-rebrand-blacksuit-fbi-and-cisa-release-update-advisory], атаковавших, в частности, город Даллас [https://techcrunch.com/2023/05/04/ransomware-attack-forces-dallas-to-shut-down-courts-disrupt-some-911-services/], а также предприятия производственного, телекоммуникационного и медицинского секторов.
В 2024 году Агентство кибербезопасности США (CISA) предупредило о ребрендинге группировки Royal в BlackSuit [https://techcrunch.com/2023/11/15/cisa-fbi-royal-ransomware-blacksuit-sanctions/]. Подобные переименования часто используются ransomware-группами для обхода санкций, затрудняющих получение прибыли от атак.
Исследователи также обнаружили [https://blog.talosintelligence.com/new-chaos-ransomware/], что новая группировка Chaos, вероятно, состоит из бывших участников BlackSuit.