CISA dan FBI mengonfirmasi hari ini bahwa ransomware Royal berganti nama menjadi BlackSuit dan telah meminta lebih dari $500 juta dari para korban sejak muncul lebih dari dua tahun lalu.
Informasi baru ini dibagikan sebagai pembaruan terhadap nasihat bersama yang diterbitkan pada Maret 2023, yang menyebutkan bahwa geng BlackSuit telah aktif sejak September 2022.
Namun, kelompok swasta ini diyakini sebagai penerus langsung dari sindikat kejahatan dunia maya Conti yang terkenal dan dimulai sebagai ransomware Quantum pada bulan Januari 2022.
Meskipun mereka awalnya menggunakan enkripsi milik geng lain (seperti ALPHV/BlackCat), mungkin untuk menghindari menarik perhatian yang tidak diinginkan, mereka menggunakan enkripsi mereka sendiri Enkripsi Zeon segera setelah itu dan berganti nama menjadi Royal pada bulan September 2022.
Setelah menyerang Kota Dallas, TexasPada bulan Juni 2023, operasi ransomware Royal mulai menguji enkripsi baru bernama BlackSuit di tengah rumor perubahan nama merek. Sejak saat itu, mereka beroperasi dengan nama BlackSuit, dan serangan Royal Ransomware telah berhenti total.
“Ransomware BlackSuit merupakan evolusi dari ransomware yang sebelumnya diidentifikasi sebagai ransomware Royal, yang digunakan sejak September 2022 hingga Juni 2023. BlackSuit memiliki banyak kesamaan pengkodean dengan ransomware Royal dan telah menunjukkan peningkatan kemampuan,” demikian yang dikonfirmasi FBI dan CISA dalam pembaruan pada hari Rabu untuk nasihat awal mereka.
“Permintaan tebusan biasanya berkisar antara sekitar $1 juta hingga $10 juta USD, dengan pembayaran yang diminta dalam bentuk Bitcoin. Aktor BlackSuit telah meminta lebih dari $500 juta USD secara total dan permintaan tebusan individu terbesar adalah $60 juta.”
Pada bulan Maret 2023 dan pembaruan penasihat berikutnya pada bulan November 2023, kedua lembaga tersebut indikator kompromi yang dibagikan dan daftar taktik, teknik, dan prosedur (TTP) untuk membantu pembela memblokir upaya geng tersebut menyebarkan ransomware di jaringan mereka.
CISA dan FBI juga menghubungkan geng BlackSuit dengan serangan terhadap lebih dari 350 organisasi sejak September 2022 dan setidaknya $275 juta dalam tuntutan tebusan.
Imbauan bersama ini pertama kali dikeluarkan setelah tim keamanan Departemen Kesehatan dan Layanan Kemanusiaan (HHS) terungkap pada bulan Desember 2022 bahwa operasi ransomware berada di balik beberapa serangan yang menargetkan organisasi perawatan kesehatan di seluruh Amerika Serikat.
Baru-baru ini, beberapa sumber mengatakan kepada BleepingComputer bahwa kelompok ransomware BlackSuit berada di balik Gangguan besar CDK Global IT yang mengganggu operasi di lebih dari 15.000 dealer mobil di seluruh Amerika Utara.
Gangguan yang meluas setelah serangan bulan lalu dipaksa CDK akan menutup sistem IT dan pusat datanya untuk menahan insiden tersebut dan dealer mobil beralih ke pena dan kertas, sehingga mustahil bagi pembeli untuk membeli mobil atau menerima layanan untuk kendaraan yang sudah dibeli.
