أعلنت وزارة الأمن الداخلي الأميركية أن مجموعة الجريمة السيبرانية المسؤولة عن عمليات «Royal» و«BlackSuit» نفذت منذ عام 2022 اختراقات طالت أكثر من 450 جهة في الولايات المتحدة، شملت قطاعات الصحة والتعليم والسلامة العامة والطاقة والهيئات الحكومية. وأوضحت إدارة التحقيقات الخاصة التابعة للوزارة، التي قادت عملية تفكيك البنية التحتية للمجموعة بالتعاون مع شركاء دوليين، أن العصابة جمعت أكثر من 370 مليون دولار من ضحاياها باستخدام تكتيكات «الابتزاز المزدوج»، حيث يجري تشفير أنظمة الضحايا مع تهديدهم بتسريب البيانات المسروقة لزيادة الضغط عليهم.
وأكدت وزارة العدل الأميركية، في 24 يوليو الماضي، نجاح عملية «Checkmate» الدولية في الاستيلاء على نطاقات «BlackSuit» في الشبكة المظلمة، واستبدال صفحات التسريب الخاصة بالعصابة بشعارات الحجز القضائي. وتشير السجلات إلى أن المجموعة ظهرت أول مرة باسم «Quantum» في يناير 2022 باعتبارها امتدادا لعصابة «Conti» السيئة السمعة، واستخدمت في البداية أدوات تشفير تابعة لمجموعات أخرى قبل تطوير مشفرها الخاص «Zeon» وإعادة تسمية نشاطها إلى «Royal» في سبتمبر من العام نفسه.
وفي يونيو 2023، وبعد استهداف مدينة دالاس الأميركية وتجربة مشفر جديد باسم «BlackSuit»، انتقلت المجموعة بالكامل إلى العلامة الجديدة. وقد أكدت وكالة الأمن السيبراني والبنية التحتية الأميركية ومكتب التحقيقات الفيدرالي في نوفمبر 2023 وجود روابط وثيقة بين العمليتين، وأن العصابة هاجمت أكثر من 350 منظمة حول العالم، مطالبة بفدى تجاوزت 275 مليون دولار. وفي أغسطس 2024، أوضحت مذكرة مشتركة من الوكالتين أن «Royal» أعادت تسمية نفسها إلى «BlackSuit» وبلغ إجمالي مطالباتها منذ ظهورها أكثر من 500 مليون دولار.
مؤشرات على إعادة تسمية جديدة للمجموعة تحت اسم Chaos ransomware مع استمرار الهجمات
كشفت تحليلات فريق الاستخبارات في «Cisco Talos» أن العصابة، بعد فقدان بنيتها التحتية، تستعد لإطلاق نشاط جديد تحت اسم «Chaos» بصيغة «خدمة برمجيات الفدية» (Ransomware-as-a-Service). وتشير البيانات إلى أن النشاط الجديد يواصل استخدام أسلوب «الابتزاز المزدوج» مع الاعتماد على الهندسة الاجتماعية الصوتية لاختراق الضحايا، إضافة إلى مشفر يستهدف التخزين المحلي والبعيد لتعظيم الأضرار.
ويرجح الباحثون بدرجة «ثقة متوسطة» أن «Chaos» تمثل إعادة تسمية مباشرة لـ«BlackSuit» (المعروفة سابقا بـ«Royal») أو أنها تدار من قبل بعض أعضائها السابقين، استنادا إلى تشابه كبير في أساليب العمل، وأوامر التشفير، وبنية الملاحظات الموجهة للضحايا، إلى جانب استخدام أدوات «LOLBins» و«RMM» في الهجمات.
