مقامات امنیتی، سایتهای اخاذی دارک وب متعلق به عملیات باجافزاری BlackSuit را، که طی چند سال گذشته شبکههای صدها سازمان در سراسر جهان را هدف قرار داده و نقض کرده، توقیف کردند.
جزئیات عملیات به باجافزار BlackSuit
وزارت دادگستری ایالات متحده توقیف این سایتها را از طریق ایمیلی تأیید کرد و اعلام کرد که مقامات درگیر، با مجوز دادگاه، دامنههای BlackSuit را مصادره کردهاند. صبح روز 24 ژوئیه، وبسایتهای موجود در دامنههای .onion این گروه باجافزاری با بنرهای توقیف جایگزین شدند که اعلام میکردند سایتهای این گروه توسط آژانس تحقیقات امنیت داخلی ایالات متحده (U.S. Homeland Security Investigations) در چارچوب عملیات بینالمللی مشترک با نام رمز عملیات شطرنج (Operation Checkmate) توقیف شدهاند.
بنر توقیف اعلام کرد که این سایتها بهعنوان بخشی از تحقیقات مشترک بینالمللی توسط این آژانس مصادره شدهاند. طبق تأیید BleepingComputer، سایتهای توقیفشده شامل وبلاگهای افشای داده و سایتهای مذاکره دارک وب بودند که برای اخاذی از قربانیان و دریافت باج استفاده میشدند.
مشارکتکنندگان در عملیات
سایر نهادهای انتظامی که در این عملیات مشترک شرکت داشتند شامل سرویس مخفی ایالات متحده، پلیس ملی هلند، اداره پلیس جنایی ایالتی آلمان، آژانس ملی جرم و جنایت بریتانیا، دفتر دادستانی کل فرانکفورت، وزارت دادگستری، پلیس سایبری اوکراین، یوروپل و دیگران بودند.
سخنگوی شرکت امنیت سایبری رومانیایی Bitdefender اعلام کرد که واحد جرایم سایبری این شرکت (معروف به Draco Team) در طول عملیات شطرنج مشاوره و راهنمایی سایبری به شرکای انتظامی ارائه کرده است. این شرکت اظهار داشت که عملیاتهایی مانند این، نقش حیاتی همکاریهای عمومی-خصوصی در ردیابی، افشا و در نهایت متلاشی کردن گروههای باجافزاری فعال در سایه را تقویت میکند.
تغییر نام باجافزار BlackSuit
روز 24 ژوئیه، گروه تحلیل تهدیدات Cisco Talos گزارش داد که شواهدی مبنی بر احتمال تغییر نام گروه باجافزاری BlackSuit به Chaos پیدا کرده است. این گروه با اطمینان متوسط ارزیابی کرد که گروه جدید Chaos یا بازسازی برند BlackSuit (Royal) است یا توسط برخی از اعضای سابق آن اداره میشود. این ارزیابی بر اساس شباهتهای تاکتیکها، تکنیکها و رویهها (TTPs)، از جمله دستورات رمزگذاری، تم و ساختار یادداشت باج و استفاده از ابزارهای LOLbins و RMM در حملات انجام شده است.
تاریخچه BlackSuit
BlackSuit در ژانویه ۲۰۲۲ بهعنوان باجافزار Quantum شروع به فعالیت کرد و بهعنوان جانشین مستقیم گروه جرایم سایبری بدنام Conti شناخته میشود. این گروه ابتدا از رمزگذارهای گروههای دیگر (مانند ALPHV/BlackCat) استفاده کرد؛ اما بهزودی رمزگذار اختصاصی Zeon را توسعه داد و در سپتامبر ۲۰۲۲ به Royal تغییر نام داد. در ژوئن ۲۰۲۳، پس از حمله به شهر دالاس، تگزاس، گروه Royal با آزمایش رمزگذار جدید BlackSuit، تحت این نام فعالیت خود را ادامه داد.
CISA و FBI در نوامبر ۲۰۲۳ در اطلاعیهای مشترک اعلام کردند که Royal و BlackSuit از تاکتیکهای مشابهی استفاده میکنند و رمزگذارهای آنها همپوشانیهای واضحی در کدنویسی دارند. این اطلاعیه حملات Royal به بیش از ۳۵۰ سازمان در سراسر جهان از سپتامبر ۲۰۲۲ را با درخواستهای باج بیش از ۲۷۵ میلیون دلار مرتبط دانست. در اوت ۲۰۲۴، این دو نهاد تأیید کردند که Royal به BlackSuit تغییر نام داده و از زمان ظهور بیش از دو سال پیش، بیش از ۵۰۰ میلیون دلار از قربانیان درخواست کرده است.
