BlackSuit, un gang spécialisé dans l’extorsion par ransomware, vient de se retrouver dans le collimateur des autorités. Les forces de l’ordre américaines viennent de saisir les différents sites du dark web appartenant au groupe. Comme le rapportent nos confrères de Bleeping Computer, les sites liés à BlackSuit affichent désormais une bannière de saisie, annonçant que les domaines ont été bloqués par les États-Unis. Les blogs recensant les fuites de données et les sites de négociation sont tous hors service. L’offensive s’inscrit dans le cadre d’une opération policière d’envergure, intitulée Opération Checkmate.
À lire aussi : Alerte au ransomware – les hackers d’Interlock multiplient les cyberattaques, alerte le FBI
Changement de nom pour BlackSuit
Apparu en mai 2023, BlackSuit est né sur les cendres d’un autre gang criminel, Royal. Celui-ci est considéré comme le successeur de Conti, un autre roi de l’extorsion qui a disparu des radars en début 2022, dans le sillage de la guerre en Ukraine. Comme beaucoup d’autres groupes de ransomware, BlackSuit attaque d’abord les entreprises pour leur voler des données. Il chiffre ensuite les fichiers des victimes avec un virus. Enfin, il menace de publier les données volées si aucune rançon n’est payée. Cette stratégie s’appelle la double extorsion. Parmi les victimes, on trouve des écoles, des hôpitaux, des entreprises industrielles, et des groupes automobiles, surtout aux États-Unis, mais également en Europe.
Dans un premier temps, BlackSuit a opéré sous le nom de Quantum, avant de trouver son appellation définitive, expliquent les chercheurs de Cisco Talos. Le gang a été actif plusieurs mois sous le sobriquet de Quantum au cours de 2022. Suite à l’offensive policière américaine, BlackSuit pourrait à nouveau changer de nom. Selon les experts, le gang est susceptible de s’être rebaptisé Chaos. Les chercheurs ont en effet trouvé des indices laissant penser que le ransomware qui se fait actuellement connaître sous le nom de Chaos est l’œuvre des cybercriminels de BlackSuit.
À lire aussi : XSS, le forum russe fréquenté par 50 000 pirates, a été démantelé par la police française
La menace Chaos
Cisco Talos estime que « le nouveau groupe est probablement formé d’anciens membres du gang BlackSuit ». Le ransomware Chaos a fait ses armes à partir de février dernier. Disponible sous la forme d’un ransomware-as-a-service (RAAS), un service par abonnement, le virus fourni par Chaos est promu par le biais d’un forum criminel russe. En parallèle, le gang a lancé une série d’attaques contre de grandes entreprises. Le groupe se focalise sur le « gros gibier », ce qui lui permet d’exiger des rançons pharaoniques. Chaos a notamment demandé 300 000 dollars à une victime.
Pour pousser la cible à verser l’argent, Chaos multiplie les menaces. Si « la victime refuse de payer la rançon, le groupe menace de publier les données volées, de lancer une attaque DDoS (déni de service distribué) contre tous ses services en ligne, et de révéler la faille de sécurité à ses concurrents et ses clients », explique Cisco Talos. En clair, BlackSuit est loin d’avoir dit son dernier mot…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
