L’8 giugno, il conglomerato giapponese Kadokawa ha subito un attacco informatico che ha reso inaccessibili molti dei suoi siti web, compreso il sito ufficiale e le piattaforme di servizi online NicoNico ed Ebten.
Anche lo studio di sviluppo FromSoftware, responsabile di Elden Ring, appartiene a Kadokawa, ma l’impatto dell’attacco informatico sulle sue attività non è stato specificato.
Dieci giorni dopo, CDK, un fornitore di software per concessionari di automobili, ha subito un attacco informatico che ha richiesto la chiusura della maggior parte dei suoi sistemi. Al momento della pubblicazione di queste righe, l’impatto rimane considerevole sull’attività dei concessionari di automobili d’oltre Atlantico; ciò dovrebbe essere evidente nei dati di immatricolazione dei nuovi veicoli per il mese di giugno. E il ripristino degli impianti appare ancora lungi dall’essere completo.
Il 22 giugno è stata la volta del National Health Laboratory Service (NHLS) del Sud Africa ad essere colpito da un attacco informatico ransomware. I sistemi NHLS sono resi inaccessibili e i laboratori operano in modalità manuale, con i risultati delle analisi comunicati telefonicamente.
Cosa hanno in comune questi attacchi informatici? Impatti estesi e lo stesso responsabile: il gruppo BlackSuit. Quest’ultimo ha rivendicato l’attacco a Kadokawa del 27 giugno, annunciando la divulgazione di 1,5 TB di dati rubati per il 1 giugnoÈ Luglio.
Fonti anonime hanno confermato ai nostri colleghi di Computer che suona il coinvolgimento del marchio BlackSuit nell’attacco informatico effettuato contro CDK. Domenica, l’amministratore delegato della NHLS, Koleka Mlisana, ha pubblicamente incolpato BlackSuit per l’attacco. Questa non è la prima vittima di BlackSuit nel settore sanitario: l’attacco del 15 aprile a Octapharma Plasma, gestore di oltre 150 centri di donazione di plasma sanguigno negli Stati Uniti, è stato attribuito a BlackSuit , che lo ha rivendicato il 23 aprile.
Le prime vittime conosciute di questo brand risalgono a giugno 2023, ma è dallo scorso novembre che hanno cominciato a moltiplicarsi. Ad oggi le richieste sono poco meno di un centinaio.
Lo scorso autunno, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti lo sospettava – e non era la sola: “ci sono indicazioni che Royal stia preparando uno sforzo di rebranding e/o di spin off “. Nel loro mirino c’è BlackSuit, che “condivide molte caratteristiche di codice simili con Royal”.
Royal è il gruppo coinvolto nell’attacco informatico che ha colpito la città di Lille alla fine di febbraio 2023. Ha avuto origine in un franchise scoperto nel gennaio 2022 e chiamato Zeon. Nessuna delle sue vittime è pubblicamente nota.
Yelisey Bohuslavskiy di RedSense ritiene che BlackSuit sia un ramo della seconda squadra del defunto Conti, avendo scelto di aprirsi e decentralizzarsi, reclutando attaccanti (o pentester, secondo il gergo vigente nel mondo del cybercrime) presso LockBit, Akira (altro ramo di Conti) e BlackCat.
Secondo lui, lo scorso marzo si è verificata una scissione in BlackSuit, che ne ha dato origine a un’altra spin off da Royal, BlackSpade. È questo sottogruppo che sarebbe responsabile dell’attacco contro Octapharma Plasma e CDK.
