Dupla fenyegetés és új márkanév
A banda kettős zsarolótechnikát alkalmazott: először titkosították az áldozatok rendszereit, majd azzal is fenyegették az érintetteket, hogy nyilvánosságra hozzák az ellopott adatokat, ha nem fizetnek. A Royal és a BlackSuit csoportot a hírhedt Conti bűnszervezet utódjának tartották. A Royal először idegen titkosító programokat használt, később saját fejlesztésű Zeont, majd 2022 szeptemberében új márkanéven kezdte a támadásokat. 2023 júniusától pedig már a BlackSuit név alatt folytatták, és az év során több száz szervezetet támadtak meg világszerte.
Új név, régi trükkök: jön a Chaos
Bár a BlackSuit infrastruktúráját nemrég sikerrel leállították, a Cisco Talos szerint a bűnözők új néven, Chaos zsarolóvírusként (Chaos ransomware) térhetnek vissza. Új működési modelljük a kettős zsarolás mellett telefonos megtévesztést is alkalmaz majd, és egyszerre támadják a helyi, valamint a hálózati adattárolókat is. Bár léteznek régebbi Chaos-variánsok, az új csoport csak a nevet kölcsönzi, hogy megzavarja az elemzőket. A támadásokban használt eszközök és módszerek – így a titkosítási parancsok, fenyegető üzenetek és a távoli adminisztrációs programok használata – erős egyezést mutatnak a Royal/BlackSuit korábbi tevékenységével.
Egyre kifinomultabb támadások
Az MI-kutatók szerint a jelszótárolókat támadó kártevők előfordulása a háromszorosára nőtt, miközben a támadók egyre rejtettebb akciókat, úgynevezett Tökéletes rablás (Perfect Heist) szcenáriókat hajtanak végre. A támadások mögött álló tíz leggyakoribb MITRE ATT&CK technika felel az összes támadás 93%-áért, amelyek ellen a védekezést folyamatosan fejleszteni kell.
