Агентство кибербезопасности и безопасности инфраструктуры (CISA) и Федеральное бюро расследований США обновили свое совместное предупреждение, выпущенное в марте 2023 года и посвященное деятельности кибервымогательской группировки BlackSuit. Новая информация проливает свет на историю группировки и раскрывает некоторые подробности ее деятельности. В частности, эксперты CISA и ФБР полагают, что группа является «прямым наследником» печально известного киберкриминального синдиката Conti.
Свою деятельность группировка начала под названием Quantum в январе 2022 года и на первом этапе использовала вредоносное ПО других групп (в частности, BlackCat), вероятно, чтобы не привлекать к себе внимания. Но уже в сентябре того же года киберпреступники создали собственный шифровальщик Zeon и провели «ребрендинг», сменив название на Royal. Самой известной ее акцией стала атака на IT-системы города Даллас в июне 2023. Вскоре после этого группа в очередной раз сменила название – теперь уже на нынешнее BlackSuit.
Хакеры отличаются изрядными аппетитами. Сумма выкупа, которую они требуют от жертв своих вымогательских атак, колеблется в среднем от 1 до 10 миллионов долларов, максимальный же затребованный ими выкуп составлял 60 миллионов долларов. По оценкам CISA и ФБР, общая сумма выкупов, затребованных группировкой за время ее существования, уже перевалила за полмиллиарда долларов. Одной из последних громких операций BlackSuit стала июньская атака на компанию CDK, предоставляющую ПО для обеспечения полного цикла работы автомобильных дилерских центров – от продажи автомобилей до офисного документооборота. В результате атаки была парализована работа более 15 тысяч дилерских центров по всей Северной Америке.