Mới đây, Bộ Tư pháp Mỹ đã xác nhận việc gỡ bỏ các trang web đen trong một email, trong đó cũng cho biết các cơ quan liên quan đã thực hiện lệnh thu giữ các tên miền BlackSuit theo lệnh của tòa án.

Các trang web trên tên miền .onion của BlackSuit đã được thay thế bằng các biểu ngữ thu giữ thông báo rằng các trang web của băng đảng ransomware đã bị Cơ quan Điều tra An ninh Nội địa Hoa Kỳ (USHSI) gỡ bỏ, trong khuôn khổ một hoạt động quốc tế chung có tên mã là Chiến dịch Checkmate. "Trang web này đã bị Cơ quan Điều tra An ninh Nội địa Hoa Kỳ thu giữ trong khuôn khổ một cuộc điều tra quốc tế phối hợp", biểu ngữ viết. 

Các chuyên gia nghiên cứu đã xác nhận rằng, các trang web bị thu giữ bao gồm các blog rò rỉ dữ liệu web đen và các trang web đàm phán được sử dụng để tống tiền nạn nhân.

Các cơ quan thực thi pháp luật khác tham gia chiến dịch chung này bao gồm Cơ quan Mật vụ Hoa Kỳ, Cảnh sát Quốc gia Hà Lan, Văn phòng Cảnh sát Hình sự của Đức, Cơ quan Tội phạm quốc gia Anh, Văn phòng Tổng Công tố Frankfurt, Bộ Tư pháp, Cảnh sát Mạng Ukraine, Cảnh sát châu Âu (Europol) và các cơ quan khác.

Công ty an ninh mạng Bitdefender của Romania cũng tham gia vào hoạt động này, nhưng người phát ngôn vẫn chưa đưa ra bất cứ thông tin nào về vụ việc cho đến thời điểm này.

Hôm thứ Năm tuần này, nhóm nghiên cứu tình báo mối đe dọa Cisco Talos báo cáo rằng, họ đã tìm thấy bằng chứng cho thấy băng nhóm mã độc tống tiền BlackSuit có khả năng sẽ đổi tên một lần nữa thành mã độc tống tiền Chaos.

"Talos đánh giá với mức độ tin cậy vừa phải, nhóm mã độc tống tiền Chaos mới là một phiên bản đổi tên của mã độc tống tiền BlackSuit (Royal) hoặc được điều hành bởi một số thành viên cũ của nhóm này", các nhà nghiên cứu cho biết.

"Đánh giá mức độ của một mã độc là dựa trên các lệnh mã hóa, chủ đề và cấu trúc của thông báo đòi tiền chuộc, cũng như việc sử dụng các hình thức và các công cụ tấn công khác nhau”.

BlackSuit khởi đầu với tên gọi là ransomware Quantum vào tháng 01/2022 và được cho là hậu duệ trực tiếp của tổ chức tội phạm mạng khét tiếng Conti. Ban đầu, chúng sử dụng bộ mã hóa từ các băng nhóm khác (chẳng hạn như ALPHV/BlackCat), nhưng sau đó không lâu, chúng đã triển khai bộ mã hóa Zeon của riêng mình và đổi tên thành ransomware Royal vào tháng 9/2022.

Vào tháng 6/2023, sau khi nhắm mục tiêu vào Thành phố Dallas, bang Texas, băng đảng ransomware Royal bắt đầu hoạt động dưới tên BlackSuit, sau khi thử nghiệm một bộ mã hóa mới có tên BlackSuit giữa những tin đồn về việc đổi tên.

Các cơ quan điều tra của Mỹ lần đầu tiên tiết lộ trong một bản khuyến cáo chung vào tháng 11/2023 rằng, Royal và BlackSuit có chung chiến thuật, trong khi các bộ mã hóa của chúng có sự trùng lặp mã hóa rõ ràng. Bản khuyến cáo cũng liên kết băng đảng ransomware Royal với các cuộc tấn công nhắm vào hơn 350 tổ chức trên toàn thế giới kể từ tháng 9/2022, dẫn đến yêu cầu tiền chuộc vượt quá 275 triệu đô la.

Cùng với đó, các cơ quan điều tra cũng đã xác nhận vào tháng 8/2024 rằng, mã độc tống tiền Royal đã đổi tên thành BlackSuit và đã đòi hơn 500 triệu đô la từ các nạn nhân kể từ khi xuất hiện hơn hai năm trước đó.

Hà Linh