VS neemt servers en $1,09 miljoen aan crypto in beslag gelinkt aan BlackSuit ransomware-bende

Een andere ransomwaregroep staat in het vizier van de VS, waarbij autoriteiten optreden tegen de BlackSuit-groep, actief sinds 2022 en gelinkt aan meer dan $370 miljoen aan losgeld-eisen.

Op maandag meldde het ministerie van Justitie dat het vier servers, negen domeinen en ongeveer $1,09 miljoen aan cryptocurrency in beslag heeft genomen die gelinkt zijn aan BlackSuit, in samenwerking met Amerikaanse en internationale partners om de inval uit te voeren.

De actie van 24 juli bracht een brede coalitie van instanties samen, van Homeland Security Investigations en de Secret Service tot IRS Criminal Investigation en de FBI, samen met wetshandhavingsinstanties uit het Verenigd Koninkrijk, Duitsland, Ierland, Frankrijk, Canada, Oekraïne en Litouwen.

Functionarissen hebben ook een federaal bevel vrijgegeven om de cryptocurrency in beslag te nemen, die eerder dit jaar door een niet-genoemde exchange was bevroren.

BlackSuit richtte zich op kritieke Amerikaanse infrastructuur

BlackSuit, actief sinds ten minste 2022, ontstond als een afsplitsing van de Royal ransomwaregroep, een groep die al bekend stond om grootschalige afpersingscampagnes tegen kritieke infrastructuur. Onderzoekers zeggen dat de groep in 2023 onder de naam BlackSuit begon te opereren en veel van Royal's tactieken, technieken en tools bleek te gebruiken.

In de loop der tijd bouwde de groep een eigen reputatie op in de cybercriminaliteitswereld door grote organisaties te targeten met losgeld-eisen variërend van $1 miljoen tot $10 miljoen, en in één geval zelfs tot $60 miljoen. 

De groep beheerde ook een portaal op het darknet waar gevoelige gestolen gegevens werden gepubliceerd die openbaar zouden worden gemaakt als slachtoffers het losgeld niet betaalden.

Eind 2023 waarschuwden de FBI en het Cybersecurity and Infrastructure Security Agency in een gezamenlijk advies dat BlackSuit de tools en tactieken had om sectoren aan te vallen waar een aanval de meeste verstoring zou kunnen veroorzaken.

BlackSuit heeft kritieke infrastructuur binnen de VS aangevallen, vaak gezondheidszorgaanbieders, overheidsinstallaties, productiebedrijven en commerciële operators. Slachtoffers ontdekten meestal dat ze geen toegang meer hadden tot vitale systemen terwijl ze werden geconfronteerd met de dreiging van lekken van gevoelige gegevens.

In 2023 betaalde een niet-genoemde organisatie 49,3 Bitcoin, destijds ongeveer $1,44 miljoen waard, om de controle over haar systemen terug te krijgen na een BlackSuit-inbreuk, volgens het ministerie van Justitie.

Een deel van dat losgeld werd de $1,09 miljoen die in beslag werd genomen tijdens de actie na maanden van onderzoek. Autoriteiten schatten dat BlackSuit sinds 2022 meer dan 450 bekende slachtoffers heeft gemaakt in alleen al de Verenigde Staten.

VS treedt op tegen ransomwaregroepen

De VS vecht actief terug tegen ransomware-aanvallen door middel van sancties en handhavingsacties, wat in de aankondiging van vandaag wordt omschreven als een "verstoring-eerst" benadering.

Zoals eerder gemeld door crypto.news, hebben de VS, het VK en Australië eerder dit jaar gezamenlijk sancties opgelegd aan de Russische hostingprovider Zservers en haar operators voor het aanbieden van kogelvrije hosting aan de LockBit ransomwaregroep.

Vorige maand diende het ministerie van Justitie een verbeurdverklaringsactie in om $2,3 miljoen in Bitcoin terug te vorderen van een lid van de Chaos ransomwaregroep nadat de FBI-afdeling in Dallas dezelfde maand 20 BTC in beslag had genomen van een aan Chaos gelinkt adres.