Američke vlasti otkrivaju kako se više od milion dolara vrijedi kriptorurcy-a opranjena banda za bandi u Blacksuit-u preplijenjena prije julljive operacije
Od
Alex Scroxton,Sigurnosni urednik
Objavljeno: 13. avgusta 2025. 16:40
Preko milion dolara vrijedan kriptorurcijske imovine koja se prala ili u ime zloglasne bande za crnka – prethodno poznata kao kraljevsko – u julu, koje su u julu, narodile američke vlasti uz podršku u Velikoj Britanijskoj agenciji za zločinu (NCA) i cyber policajca iz Kanade, u Njemačkoj, Irskoj, Litvaniji i Ukrajini.
Operativni prijatelj, koji se održao 24. jula, vidio je koordiniranu akciju koja je zauzela četiri poslužitelja i devet domena izvan mreže za dobro. Američki Ministarstvo pravde (DOJ) otkrilo je da je ove sedmice nalog za oduzimanje kripto imovine u vrijednosti od 1,09 miliona dolara (£ 800,000) učvršćen američkim odvjetnicima za Istočni okrug Virdžinije i Distrikta Kolumbija. Sama zapad održana se pre nekoliko meseci.
Dotična sredstva isplaćena su na ili oko 4. aprila 20. aprila od strane žrtve koja je predala 49,31 Bitcoin u zamjenu za banđu Blacks saglasan za dešifriranje njihovih podataka. Plaćanje je u to vrijeme vrijedilo oko 1,45 miliona dolara. Dio ovog ukupno je više puta položen i povučen u virtualni račun za razmjenu valuta, prije nego što je zamrznula razmjena u januaru 2024. godine.
“Istraživanje ransomware infrastrukture ne radi se samo o svlačenju poslužitelja – radi se o rasprodajama cijelog ekosustava koji omogućava nekažnjivo djelo”, rekao je Michael Prado, zamjenik pomoćnika Cyber-ove za zločine u industrijskoj sigurnosnosti (HSI), istražna grana Savezne vladine odjeljenja za domovinu (DHS).
“Ova operacija je rezultat neumorne međunarodne koordinacije i pokazuje našu kolektivnu odlučnost da bi se preuzeli ransomware akteri odgovorni”, rekao je Prado.
HSI Washington DC vršilac specijalnog agenta dodano je Christopher Heck Dodano: “Ova istraga odražava puni doseg Cyber-ove misije HSI-ja i naše opredjeljenje za zaštitu žrtava – da li će biti usmjereni na infrastrukturu, financije i operatere koji stoje iza tih ransumware grupa kako bi se osiguralo da se ne ostave da se sakriju.”
Zamjenik direktora Paul Foster-a, šef Nacionalne jedinice za nacionalnu cyber kriminal, rekao je: “Ransomware je najkomičniji prijetnja cyber kriminala na globalnoj razini, a soj sa trkakom utjecali su na žrtve u Velikoj Britaniji i u Velikoj Britaniji.
“NCA, pored regionalne jedinice za organizovane kriminalne kriminalne kriminalne kriminalne kriminalne jedinice sa supštenim zapadnim zapadnim zastojama, tako surađivalo sa HSI i drugim međunarodnim partnerima, a dijelili su inteligenciju koja je doprinela poremećajima ove kriminalne grupe.
“Nastavljamo da podržavamo žrtve na bazi Blacksuita i potaknuli bismo sve koji misle da su bili ciljani da se nađu i prijave”, dodali su ga Foster. “Daljnja podrška i savjet o zaštiti od ransomware-a mogu se naći na ncsc.gov.uk.”
Ova istraga odražava puni doseg HSI-jeve cyber misije i našu posvećenost zaštiti žrtava. I dalje ćemo ciljati infrastrukturu, financije i operatere koji stoje iza ovih grupa za otpatke kako bismo osigurali da nemaju nigde da se sakriju Christopher Heck, istrage o domovinskoj sigurnosti
Prolifični glumac za otkupničar, Blacks je vjerovatno sačinjen od pojedinca sa povijesnim vezama na bandi Conti. Prvo se pojavilo početkom 2022. godine, verovatno gluma kao podružnica drugih bandi, prije nego što je nastao kao kraljevski sa vlastitim šifriranom. Nastavio se u Rebrand kao trkac nakon velikog napada na grad Dallas u Teksasu, ali tada je postavio tih do prošlog ljeta, kada je počeo ponovo rampiti tempo svojih napada.
Tokom svog operativnog života smatra se da je Blacks napadao gotovo 500 žrtava u SAD-u i iznuđivalo preko 370 miliona dolara u plaćanju.
Njegova ciljanja uključivala je žrtve u mnogim kritičnim sektorima infrastrukture, poput vladinih tijela, zdravstvene zaštite i proizvodnje. Kao što je napomenuto, jedna od njegovih najčnitijih žrtava bio je grad Dallas, koji je napadnut na proljeće 2023. godine.
U ovom zloglasnom incidentu, banda je mogla dobiti pristup sistemima gradske vlade koristeći ukradeni račun, a exfiltriran nad terabyte vrijednim datotekama tokom četvorke sedmice, prije nego što je izvršavao korisno opterećenje ransumware-a.
Dok je Blacks operirao prilično standardni poslovni model sa dvostrukim šifriranjem, bilo je pomalo zapažen u svom pristupu šifriranju podataka svojih žrtava, koristeći djelomični pristup šifriranju koji su omogućili svojim operaterima da odaberu koliko podataka u datoteci za šifriranje. Ova taktika značila je da banda može brže raditi i izbjeći otkrivanje.
Outlook je još uvijek haos
Bez obzira na uspjeh zajedničke operacije, razdoblje ransomware-a notorno su teško zakačiti i, kad se utovarivaju, imaju frustrirajuću naviku toplje u sjene i ponovno pojavljivanje novih identiteta dalje.
U slučaju Blacksuita, sljedeći Rebrand bande možda je već u toku. Krajem jula, istraživači na Cisco Talosu objavili su obavještajnu službu koja povezuje operaciju “Ransomware-AS-A-servisa (RAAS) nazvanu haosu u bivše operativce sa trkama.
U njihovoj procjeni, Tim Cisco Talos rekao je da je vjerovatno da se na osnovu sličnosti u taktikama, tehnikama i postupcima (TTPS) – uključujući široku temu i strukturu njegovih otkupnih napona – haos “bilo rebranding bank-reprodukcije ili ih je bilo reudirajućim ransuit-om ili su ih upravljali nekim bivšim članovima”.
Ovaj je članak ažuriran u 19:35 13. avgusta kako bi se ugradio na citat iz Velike Britanije za nacionalnu agenciju za zločinu.
Pročitajte više o hakerima i prevenciji cyberfime-a
Ekstremistički haker koji je obnovio web stranice i ukrao je zatvoreni podaci
Napisao: Alex Scroxton
Warlock tvrdi da se ransomware napad na mrežne usluge firm colt
