Royal Ransomware byter namn till BlackSuit, kräver över 500 miljoner dollar i lösensumma, FBI och CISA bekräftar

CISA och FBI har bekräftat att Royal Ransomware har bytt namn till BlackSuit och krävt över 500 miljoner dollar från offer sedan dess uppkomst för över två år sedan. Gruppen, som ursprungligen verkade under namnet Quantum ransomware i januari 2022, övergick till att använda Royal-monikern i september 2022.

Av FBI:s och CISA:s råd framgår att gruppen började använda sin egen Zeon-krypterare, och senare bytte namn till BlackSuit efter att ha angripit Dallas i juni 2023. BlackSuit har många likheter med Royal och har förbättrad kapacitet. Sedan september 2022 har BlackSuit riktat in sig på över 350 organisationer och krävt över 275 miljoner USD i lösensummor, med individuella krav på mellan 1 miljon USD och 10 miljoner USD, betalda i Bitcoin. Byråerna har delat med sig av indikatorer på intrång och taktik för att hjälpa organisationer att försvara sig mot dessa attacker, och belyser BlackSuits roll i betydande störningar, inklusive en nyligen genomförd attack mot CDK Global, som påverkade över 15 000 bilhandlare i Nordamerika.

Interpol återerövrar över 40 miljoner dollar i den största återerövringen någonsin efter ett BEC-bedrägeri

Interpols globala betalningsstoppsmekanism, I-GRIP, har framgångsrikt återtagit över 40 miljoner dollar som stulits i en BEC-attack (Business Email Compromise) mot ett Singaporebaserat företag. Detta är den största återerövringen av medel som stulits genom ett BEC-bedrägeri. BEC-bedrägerier innebär att cyberbrottslingar omdirigerar legitima företagsbetalningar till konton som kontrolleras av angripare genom att kompromettera ett företags e-postadress. När pengarna väl har överförts flyttar brottslingarna snabbt pengarna mellan olika konton för att dölja sina spår.

I det här fallet fick företaget i Singapore ett bedrägligt e-postmeddelande, till synes från en leverantör, med en begäran om betalning till ett nytt bankkonto. Företaget överförde 42,3 miljoner dollar till det av angriparen kontrollerade kontot men insåg bedrägeriet fyra dagar senare. Interpol, i samarbete med myndigheterna i Östtimor, lyckades återta 39 miljoner dollar och ytterligare utredningar ledde till att sju misstänkta greps och ytterligare 2 miljoner dollar återtogs. Sedan lanseringen 2022 har I-GRIP återtagit över 500 miljoner dollar globalt.

Ransomware ökar kraftigt under 2024 när attackerna intensifieras med fler grupper och ökande dataläckage

Hotet från ransomware har blivit allvarligare under 2024, med fler attacker, fler inblandade grupper och en ökning av dataläckor och läckagesajter. Rapid7:s Ransomware Radar Report 2024 belyser denna oroande trend och visar att antalet ransomware-attacker har ökat kraftigt, med över 2 500 incidenter bara under första halvåret 2024. Detta motsvarar mer än 14 offentligt påstådda attacker varje dag, även om den verkliga siffran kan vara mycket högre.

Rapporten konstaterar att ransomware-attackerna under 2023 nådde oöverträffade nivåer, men 2024 är på väg att överträffa detta, med publiceringar på läckagesajter som ökar från i genomsnitt 24 per månad i början av 2023 till 40 per månad under första halvåret 2024.

Rapid7:s analys fokuserar på de 20 mest aktiva ransomware-grupperna och visar att mindre företag, med en årlig omsättning på cirka 5 miljoner dollar, blir alltmer utsatta. Övergången till dubbel utpressning - kryptering av data och hot om att läcka den - har blivit normen i dessa attacker.

Massivt dataintrång kan ha exponerat personlig information från nästan 3 miljarder människor

I april avslöjade ett massivt dataintrång potentiellt personlig information om nästan tre miljarder människor, enligt en stämning mot Jerico Pictures Inc. som verkar som bakgrundskontrollföretaget National Public Data. Detta häpnadsväckande intrång, som kan påverka mer än en tredjedel av världens befolkning, rapporterades först av Bloomberg Law.

Hackinggruppen USDoD ska ha laddat upp en 277 GB stor databas med titeln ”National Public Data” till den mörka webben den 8 april. Databasen, som är tillgänglig för 3,5 miljoner dollar, sägs innehålla känslig information som personnummer, hemadresser, fullständiga juridiska namn och härkomstuppgifter.

Stämningen, som väckts av Christopher Hofmann, bosatt i Kalifornien, kräver kompensation, radering av insamlade uppgifter och starkare dataskyddsåtgärder, inklusive kryptering. Om intrånget bekräftas skulle det vara ett av de största i historien, jämförbart med intrånget i Yahoo! 2013 som också påverkade tre miljarder människor. Experter rekommenderar att man söker professionella tjänster för skydd, med tanke på omfattningen och känsligheten hos de exponerade uppgifterna.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.