Международна операция под кодовото име Checkmate доведе до разгрома на едно от най-активните и разрушителни рансъмуер формирования в света — BlackSuit. Американското министерство на правосъдието официално потвърди, че домейните на престъпната групировка в тъмната мрежа са иззети в рамките на съвместна акция, ръководена от Службата за вътрешна сигурност на САЩ (HSI), с участието на над десет партньорски служби от Европа и САЩ.

Престъпната инфраструктура на BlackSuit — неутрализирана

Сайтовете на BlackSuit, включително блоговете за изтичане на откраднати данни и платформите за преговори с жертвите, бяха заменени със стандартен банер за изземване:

„Този сайт е иззет от Службата за вътрешна сигурност на САЩ като част от координирано международно разследване.“

Операцията бе осъществена с участието на различни агенции, включително Сикрет сървис на САЩ, холандската национална полиция, германската криминална полиция, британската Национална агенция за престъпност, прокуратурата във Франкфурт, украинската киберполиция, Европол и частната румънска компания Bitdefender, чийто екип Draco оказа техническа подкрепа.

BlackSuit — от Conti до Royal и Chaos

BlackSuit не е просто изолиран играч, а пряк наследник на няколко прословути банди:

• Януари 2022: групата започва дейност като Quantum, с вероятна връзка към разпуснатия Conti.

• Септември 2022: бандата се ребрандира като Royal, използвайки собствен криптор Zeon.

• Юни 2023: след атака срещу град Далас, Royal започват тестове на нов криптор и преминават към новото име — BlackSuit.

• Юли 2025: анализ на Cisco Talos разкрива, че BlackSuit вероятно вече планира нов ребрандинг под името Chaos.

Тези трансформации целят да объркат следователите и да заличат дигиталната следа на групата, но служби като ФБР и CISA потвърждават, че в основата си това е една и съща операция с непроменени тактики и кодова база.

Огромни щети: над $500 милиона поискан откуп

Според оценки от август 2024 г., групата е атакувала над 350 организации по света, включително публични институции, здравни заведения и критична инфраструктура, с общи искания за откуп, надхвърлящи 500 милиона долара.

Атаките използват легитимни инструменти (т.нар. LOLbins и RMM софтуер) за избягване на детекция, а крипторите им са способни да шифроват бързо огромни обеми данни и да парализират цели мрежи.

Какво следва?

Въпреки успеха на Operation Checkmate, експертите предупреждават, че BlackSuit (или Chaos) вероятно ще се опита да се възроди под нова форма. Силната международна координация обаче показва, че правоприлагащите органи все по-често постигат реални резултати в борбата с киберпрестъпността.