Im Juli 2023 haben US-Behörden und internationale Partner eine bedeutende Operation gegen die Ransomware-Gruppe BlackSuit durchgeführt. Diese Aktion, die unter dem Namen „Checkmate“ bekannt ist, fand am 24. Juli statt und wurde vom US-Ministerium für Heimatschutz (HSI) geleitet. An der Operation waren 16 Partnerorganisationen beteiligt, darunter Europol, die britische National Crime Agency, die deutsche Polizei sowie Behörden aus Kanada, Frankreich, Irland, Litauen und der Ukraine. Auch die Sicherheitsfirma Bitdefender spielte eine wichtige Rolle in dieser Initiative.
Im Rahmen der Operation wurden nicht nur vier Server und neun Domains der BlackSuit-Gruppe abgeschaltet, sondern auch zusätzliche digitale Ressourcen, einschließlich der Hauptseite im Tor-Netzwerk. Die Aktion führte zur Sicherstellung von rund 1,09 Millionen US-Dollar aus Lösegeldzahlungen, die aus verschiedenen Erpressungen stammten, bei denen Opfer hohe Beträge in Bitcoin zahlen mussten. BlackSuit, die zuvor unter dem Namen Royal bekannt war, hatte seit 2022 gezielt Sektoren wie das Gesundheitswesen, die öffentliche Verwaltung und die Energieversorgung angegriffen.
Die Dimensionen der Erpressungen
BlackSuit forderte bis Ende 2023 über 500 Millionen US-Dollar Lösegeld und konnte dabei mindestens 275 Millionen US-Dollar von mehr als 350 Opfern erpressen. Bekannte Angriffe umfassten unter anderem die Stadt Dallas im Jahr 2023 sowie Aktionen gegen CDK Global und das Kansas City Police Department im Jahr 2024. Bei ihren Lösegeldforderungen verlangte die Gruppe Beträge von einer Million bis zu elf Millionen US-Dollar in Bitcoin. Ein besonders auffälliges Opfer zahlte sogar 49,3120227 Bitcoin, was etwa 1,45 Millionen US-Dollar entsprach; ein Teil dieses Betrags wurde später von einer Kryptobörse eingefroren.
Nach dem Erfolg der Operation Checkmate vermuten Sicherheitsexperten, dass einige ehemalige Mitglieder von BlackSuit unter dem neuen Namen „Chaos“ weiter operieren. Diese Gruppe ist seit Februar 2023 aktiv und verwendet Angriffsmethoden, die stark an die von BlackSuit erinnern, einschließlich der sogenannten „Double Extortion“-Strategien.
Chaos Ransomware und ihre Techniken
Die Gruppe Chaos vermarktet ihre Ransomware als „Ransomware-as-a-Service“ in einem russischsprachigen Untergrundforum und kann verschiedene Systeme angreifen. Mindestens 18 Opfer sind bereits auf der Leak-Seite der Chaos-Gruppe aufgeführt. Es wird vermutet, dass Chaos eine Umbenennung oder Neugründung der BlackSuit-Ransomware ist, oder dass sie von ehemaligen BlackSuit-Mitgliedern betrieben wird. Diese Einschätzung basiert auf Ähnlichkeiten in den Verschlüsselungsmechanismen und der Struktur der Lösegeldnotizen.
Die Angriffe von Chaos erlangen typischerweise den ersten Zugang über Social Engineering, insbesondere durch E-Mail- oder Voice-Phishing-Techniken. Opfer werden häufig dazu gebracht, einen vermeintlichen IT-Sicherheitsvertreter zu kontaktieren, der in Wahrheit Teil der Ransomware-Operation ist.
Der Talos-Beitrag berichtet, dass die Chaos-Mitglieder den Opfern instruierten, das integrierte Remote-Assistenz-Tool Microsoft Quick Assist zu starten und sich dadurch mit dem Endpunkt des Angreifers zu verbinden. Solche Methoden verdeutlichen die schockierende Evolution der Cyberkriminalität und verdeutlichen die anhaltende Bedrohung durch diese Ransomware-Gruppen.
Die Operation Checkmate hat zwar bedeutende Fortschritte im Kampf gegen Cyberkriminalität erzielt, doch der schleichende Aufstieg von Chaos zeigt, dass die Gefahr durch Ransomware weiterhin besteht und große Aufmerksamkeit erfordert.
Weitere Informationen zu dieser Thematik finden Sie bei IT Daily und Ars Technica.
