In seguito alla Operation Checkmate, le forze dell’ordine di vari paesi hanno sequestrato i siti usati da BlackSuit, gruppo specializzato nella distribuzione di ransomware. I ricercatori di Cisco Talos hanno scoperto che le attività dei cybercriminali sono state interrotte solo per alcune ore. È infatti già operativo il nuovo gruppo Chaos che ha preso il posto di BlackSuit.
Da Conti a Chaos
I nomi dei gruppi derivano principalmente dal nome del ransomware usato durante gli attacchi informatici. All’inizio del 2022 è apparso il nuovo ransomware Quantum, ritenuto l’erede di Conti. Circa nove mesi dopo è diventato Royal, mentre da giugno 2023 veniva usato il nome BlackSuit.
La collaborazione tra forze dell’ordine di Stati Uniti, Germania, Olanda, Regno Unito, Ucraina e Lituania, Europol e Bitdefender ha portato al sequestro dei siti usati per pubblicare i dati rubati e avviare le negoziazioni per il pagamento dei riscatti. Da settembre 2022 ad oggi, i cybercriminali hanno colpito oltre 350 organizzazioni nel mondo chiedendo riscatti per oltre 500 milioni di dollari.
Secondo i ricercatori di Cisco Talos, il nuovo gruppo Chaos è un rebranding di BlackSuit e viene gestito da alcuni membri del vecchio gruppo. Sfruttano infatti simili tecniche e la stessa struttura del testo con il quale chiedono un riscatto. L’omonimo ransomware viene offerto in abbonamento (Ransomware-as-a-Service) ed è compatibile con Windows, Linux, ESXi e sistemi NAS.
Viene solitamente chiesto un riscatto di 300.000 dollari. Se la somma non viene pagata, i cybercriminali pubblicano i dati rubati ed eseguono un attacco DDoS per mettere fuori uso i siti delle vittime. L’intrusione nella rete aziendale viene ottenuto attraverso phishing e vishing. I dipendenti credono di parlare con l’assistenza IT e avviano Microsoft Quick Assist sul computer consentendo l’accesso remoto.
Aggiornamento
Un rappresentante del Draco Team, unità di Bitdefender che ha partecipato all’operazione, ha dichiarato:
Lo smantellamento dell’infrastruttura di BlackSuit segna un’altra importante pietra miliare nella lotta contro la criminalità informatica organizzata. Ci congratuliamo con i nostri partner delle forze dell’ordine per il loro coordinamento e la loro determinazione. Operazioni come questa rafforzano il ruolo fondamentale delle partnership pubblico-private nel rintracciare, smascherare e, infine, smantellare i gruppi di ransomware che operano nell’ombra. Quando le competenze globali sono allineate, i criminali informatici hanno meno posti dove nascondersi.
Aggiornamento (29/07/2025): l’FBI ha sequestrato circa 20 Bitcoin (valore attuale di oltre 2,4 milioni di dollari) ad uno dei membri del gruppo Chaos, noto come Hors.
Ti potrebbe interessare
28 lug 2025