Más de un millón de dólares de activos de criptomonedas lavados por o en nombre de la notoria pandilla de ransomware de trajes negros, anteriormente conocidos como Royal, fueron incautados por delante de una operación multinacional de derribo en julio, dirigida por las autoridades estadounidenses con el apoyo de la Agencia Nacional de Delitos del Reino Unido (NCA) y Cyber Cops de Canadá, Francia, Alemania, Irlanda, Lithuania y Ukraine. La Operación Checkmate, que tuvo lugar el 24 de julio, vio una acción coordinada que tomó cuatro servidores y nueve dominios fuera de línea para siempre. El Departamento de Justicia de los Estados Unidos (DOJ) ha revelado que esta semana, una orden para la incautación de activos criptográficos valorados en $ 1.09 millones (£ 800,000) fue revelada por las oficinas del Fiscal de los Estados Unidos para el Distrito Oriental de Virginia y el Distrito de Columbia. La convulsión en sí tuvo lugar hace unos meses. Los fondos en cuestión fueron pagados alrededor del 4 de abril de 2023 o alrededor de una víctima que entregó 49.31 Bitcoin a cambio de que la pandilla BlackSuit que acordó descifrar sus datos. El pago valía aproximadamente $ 1.45 millones en ese momento. Una parte de este total se depositó y retiró repetidamente en una cuenta de intercambio de moneda virtual, antes de ser congelada por el intercambio en enero de 2024. «Interrupción de la infraestructura de ransomware no solo se trata de eliminar los serios de los cibernéticos centrales de los cibernéticos. (HSI), la rama de investigación del Departamento de Seguridad Nacional del Gobierno Federal (DHS). «Esta operación es el resultado de una incansable coordinación internacional y muestra nuestra resolución colectiva de responsabilizar a los actores de ransomware», dijo Prado. El agente especial interino de HSI Washington DC a cargo, Christopher Heck, agregó: «Esta investigación refleja el alcance total de la misión cibernética de HSI y nuestro compromiso de proteger a las víctimas, ya sea que sean pequeñas empresas, sistemas escolares u hospitales. Continuaremos apuntando a la infraestructura, las finanzas y los operadores detrás de estos grupos de ransomware para garantizar que no tengan ahora que se les deja esconderse». El subdirector Paul Foster, jefe de la Unidad Nacional de Crimen Cibernético de la NCA, dijo: «El ransomware es la amenaza de delitos cibernéticos más dañinos a nivel mundial y la cepa BlackSuit ha afectado a las víctimas en el Reino Unido y al extranjero. «Continuamos apoyando a las víctimas de ataques de trajes negros con sede en el Reino Unido y alentaría a cualquiera que piense que ha sido blanco de presentarse e informarlo», agregó Foster. «Se pueden encontrar más apoyo y consejos sobre cómo protegerse del ransomware en NCSC.gov.uk.» Esta investigación refleja el alcance total de la misión cibernética de HSI y nuestro compromiso de proteger a las víctimas. Continuaremos apuntando a la infraestructura, las finanzas y los operadores detrás de estos grupos de ransomware para garantizar que no les quede nada para esconder a Christopher Heck, investigaciones de seguridad nacional Un actor prolífico de ransomware, el traje negro probablemente estaba compuesto por individuos con vínculos históricos con la pandilla conti. Surgió por primera vez a principios de 2022, probablemente actuando como un afiliado de otras pandillas, antes de emerger como real con su propio cifrado ese otoño. Luego se renombró como un traje negro después de un gran ataque contra la ciudad de Dallas en Texas, pero luego quedó en silencio hasta el verano pasado, cuando comenzó a aumentar el ritmo de sus ataques nuevamente. Durante su vida operativa, se cree que BlackSuit atacó a casi 500 víctimas en los Estados Unidos solas y extorsionó más de $ 370 millones en pagos. Su objetivo incluyó a las víctimas en muchos sectores de infraestructura crítica, como los organismos gubernamentales, la atención médica y la fabricación. Como se señaló, una de sus víctimas más notables fue la ciudad de Dallas, que fue atacada en la primavera de 2023. En este infame incidente, la pandilla pudo obtener acceso a los sistemas del gobierno de la ciudad utilizando una cuenta robada, y exfiltró por un valor de archivos de Terabyte durante un período de cuatro semanas, antes de ejecutar su carga de pago. Si bien BlackSuit operaba un modelo de negocio de doble cifrado bastante estándar, fue algo notable en su enfoque para encriptar los datos de sus víctimas, utilizando un enfoque de cifrado parcial que permitió a sus operadores elegir cuántos datos en un archivo encriptar. Esta táctica significaba que la pandilla podía funcionar más rápido y evadir la detección. La perspectiva sigue siendo el caos a pesar del éxito de la operación conjunta, los actores de ransomware son notoriamente difíciles de precisar y, cuando se acorralan, tienen el hábito frustrante de derretirse en las sombras y resurgir con una nueva identidad más abajo en la línea. En el caso de BlackSuit, el próximo cambio de marca de la pandilla ya puede estar en progreso. A fines de julio, los investigadores de Cisco Talos publicaron inteligencia que vincula una operación emergente de ransomware como servicio (RAAS) denominado caos con antiguos agentes de trajes negros. En su evaluación, el equipo de Cisco Talos dijo que era probable que, en base a similitudes en tácticas, técnicas y procedimientos (TTP), incluidos los comandos de cifrado, el tema amplio y la estructura de su nota de rescate, y el uso de herramientas similares en sus ataques, el caos fue «una de las redes negras de los trajes negros o operados por algunos de sus antiguos miembros». Este artículo se actualizó a las 19:35 el 13 de agosto para incorporar una cita de la Agencia Nacional de Delitos del Reino Unido.