Un prolífico grupo de ransomware ha exigido más de 500 millones de dólares a sus víctimas en menos de dos años, según nuevos datos de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). Una actualización de un informe anterior de la CISA, elaborado con el FBI y publicado el 7 de agosto, detallaba la actividad del grupo BlackSuit, que cambió su nombre de «Royal» en julio de 2023 y ha estado en funcionamiento desde septiembre de 2022. Su mayor demanda individual desde entonces fue de 60 millones de dólares, aunque el informe añade que el grupo muestra una «voluntad de negociar los importes de pago», por lo que es probable que los altos precios iniciales solicitados sean simplemente una táctica de negociación. «Las demandas de rescate normalmente han oscilado entre aproximadamente 1 millón y 10 millones de dólares, y el pago se ha exigido en Bitcoin», añade. Leer más sobre BlackSuit/Royal: el ransomware Royal ataca a la sanidad estadounidense. Los importes de los rescates no se muestran en la nota inicial. En cambio, las víctimas normalmente necesitan interactuar directamente con el actor de la amenaza a través de una URL .onion proporcionada después del cifrado, aunque más recientemente también han recibido comunicaciones por correo electrónico y teléfono, dijo CISA. El grupo fue el más notablemente responsable de un ataque a la ciudad de Dallas el año pasado que resultó en la vulneración de varios servidores y una interrupción generalizada de los servicios públicos, incluidos los sistemas de despacho del 911. El mes pasado, el condado de Monroe, en Indiana, sufrió un cierre de oficinas gubernamentales durante una semana después de un ataque del grupo. No está claro si un ataque similar en el condado vecino de Clay poco después, que resultó en la declaración del estado de emergencia, también puede haber venido de BlackSuit. BlackSuit utiliza tácticas clásicas de doble extorsión, mostrando los nombres de las víctimas y posteriormente sus datos en un sitio de filtración si no se paga un rescate. «Los correos electrónicos de phishing se encuentran entre los vectores más exitosos para el acceso inicial de los actores de amenazas de BlackSuit», afirmó el informe de CISA. «Después de obtener acceso a las redes de las víctimas, los actores de BlackSuit desactivan el software antivirus y exfiltran grandes cantidades de datos antes de implementar finalmente el ransomware y cifrar los sistemas». Un informe de CISA de noviembre de 2023 afirmó que Royal había atacado a 350 víctimas en todo el mundo desde septiembre de 2022 y exigió pagos de rescate por 275 millones de dólares.