CISA et le FBI ont confirmé aujourd’hui que le ransomware Royal a été rebaptisé BlackSuit et a demandé plus de 500 millions de dollars aux victimes depuis son apparition il y a plus de deux ans.

Ces nouvelles informations ont été partagées en tant que mise à jour d’un avis conjoint publié en mars 2023, qui indique que le gang des combinaisons noires est actif depuis septembre 2022.

Cependant, on pense que ce groupe privé est un successeur direct du tristement célèbre syndicat de la cybercriminalité Conti et a commencé sous le nom de Quantum ransomware en janvier 2022.

Alors qu’ils utilisaient initialement les chiffreurs d’autres gangs (comme ALPHV/BlackCat), susceptibles d’éviter d’attirer l’attention indésirable, ils ont déployé leur propre chiffreur Zeon peu de temps après et rebaptisé Royal en septembre 2022.

Après avoir attaqué la ville de Dallas, au Texas, en juin 2023, l’opération Royale de ransomware a commencé à tester un nouveau chiffreur appelé BlackSuit au milieu de rumeurs de changement de marque. Depuis lors, ils opèrent sous le nom de BlackSuit et les attaques de Ransomware Royal ont complètement cessé.

« Le ransomware BlackSuit est l’évolution du ransomware précédemment identifié comme Royal ransomware, qui a été utilisé de septembre 2022 à juin 2023 environ. BlackSuit partage de nombreuses similitudes de codage avec Royal ransomware et a présenté des capacités améliorées », ont confirmé le FBI et la CISA dans une mise à jour mercredi de leur avis initial.

« Les demandes de rançon ont généralement varié d’environ 1 million de dollars à 10 millions de dollars AMÉRICAINS, le paiement étant exigé en Bitcoin. Les acteurs de la combinaison noire ont exigé plus de 500 millions de dollars au total et la plus grande demande de rançon individuelle était de 60 millions de dollars. »

En mars 2023 et une mise à jour consultative ultérieure de novembre 2023, les deux agences ont partagé des indicateurs de compromission et une liste de tactiques, techniques et procédures (TTP) pour aider les défenseurs à bloquer les tentatives du gang de déployer des ransomwares sur leurs réseaux.

La CISA et le FBI ont également lié le gang de combinaisons noires à des attaques contre plus de 350 organisations depuis septembre 2022 et au moins 275 millions de dollars de demandes de rançon.

L’avis conjoint a été émis pour la première fois après que l’équipe de sécurité du ministère de la Santé et des Services sociaux (HHS) a révélé en décembre 2022 que l’opération de ransomware était à l’origine de plusieurs attaques ciblant des établissements de santé à travers les États-Unis.

Plus récemment, plusieurs sources ont déclaré à Breachtrace que le gang de ransomwares BlackSuit était à l’origine d’une panne informatique mondiale massive de CDK qui a perturbé les opérations de plus de 15 000 concessionnaires automobiles en Amérique du Nord.

Cette panne généralisée après l’attaque du mois dernier a forcé CDK à fermer ses systèmes informatiques et ses centres de données pour contenir l’incident et les concessionnaires automobiles à passer au stylo et au papier, ce qui a empêché les acheteurs d’acheter des voitures ou de bénéficier d’un service pour les véhicules déjà achetés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *