In seguito alla Operation Checkmate, le forze dell’ordine di vari paesi hanno sequestrato i siti usati da BlackSuit, gruppo specializzato nella distribuzione di ransomware. I ricercatori di Cisco Talos hanno scoperto che le attività dei cybercriminali sono state interrotte solo per alcune ore. È infatti già operativo il nuovo gruppo Chaos che ha preso il posto di BlackSuit.
Da Conti a Chaos
I nomi dei gruppi derivano principalmente dal nome del ransomware usato durante gli attacchi informatici. All’inizio del 2022 è apparso il nuovo ransomware Quantum, ritenuto l’erede di Conti. Circa nove mesi dopo è diventato Royal, mentre da giugno 2023 veniva usato il nome BlackSuit.
La collaborazione tra forze dell’ordine di Stati Uniti, Germania, Olanda, Regno Unito, Ucraina e Lituania, Europol e Bitdefender ha portato al sequestro dei siti usati per pubblicare i dati rubati e avviare le negoziazioni per il pagamento dei riscatti. Da settembre 2022 ad oggi, i cybercriminali hanno colpito oltre 350 organizzazioni nel mondo chiedendo riscatti per oltre 500 milioni di dollari.
Secondo i ricercatori di Cisco Talos, il nuovo gruppo Chaos è un rebranding di BlackSuit e viene gestito da alcuni membri del vecchio gruppo. Sfruttano infatti simili tecniche e la stessa struttura del testo con il quale chiedono un riscatto. L’omonimo ransomware viene offerto in abbonamento (Ransomware-as-a-Service) ed è compatibile con Windows, Linux, ESXi e sistemi NAS.
Viene solitamente chiesto un riscatto di 300.000 dollari. Se la somma non viene pagata, i cybercriminali pubblicano i dati rubati ed eseguono un attacco DDoS per mettere fuori uso i siti delle vittime. L’intrusione nella rete aziendale viene ottenuto attraverso phishing e vishing. I dipendenti credono di parlare con l’assistenza IT e avviano Microsoft Quick Assist sul computer consentendo l’accesso remoto.
