<div id="post_message_805267">

Спецслужбы пяти стран объединились против наследников легендарного преступного синдиката.<br/>
<br/>
Правоохранительные органы провели <a href="https://www.bleepingcomputer.com/news/security/law-enforcement-seizes-blacksuit-ransomware-leak-sites/?utm_source=Securitylab.ru" target="_blank">международную операцию</a> по ликвидации цифровой инфраструктуры одного из самых активных вымогательских проектов последнего десятилетия — BlackSuit. Это киберпреступное объединение стояло за сотнями атак на государственные учреждения, корпорации и другие организации по всему миру. Теперь их сайты на теневом сегменте интернета, включая площадки для публикации утёкших данных и переговорные страницы, заменены официальными баннерами о конфискации.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://cdn.securitylab.ru/upload/medialibrary/cd3/ypwm47i5alnuyu19fy5p3kg1rlcvq5yu.png"/><br/>
<br/>
По заявлению Минюста США, операция проходила под кодовым названием Operation Checkmate и была санкционирована судом. Основную работу выполнило подразделение Homeland Security Investigations при участии таких ведомств, как Секретная служба США, Национальное агентство по борьбе с преступностью Великобритании, прокуратура Франкфурта, государственная криминальная полиция Германии и Национальная полиция Нидерландов. В операции также участвовала компания Bitdefender, но подробностей её участия пока не раскрывают.<br/>
<br/>
BlackSuit начинался как Quantum в январе 2022 года и с самого начала имел родственные связи с легендарным вымогательским синдикатом Conti. Вскоре после старта они перестали использовать сторонние шифровальщики и запустили собственный — Zeon. В сентябре того же года проект получил новое имя — Royal, а уже после атаки на город Даллас в 2023 году вновь сменил идентичность на BlackSuit, что сопровождалось внедрением нового шифратора.<br/>
<br/>
Службы США уже в 2023 году сообщили, что Royal и BlackSuit используют одинаковые тактики, одинаковые инструменты и даже схожие команды шифрования, включая обращение к системным утилитам ( LOLbins ), удалённым административным программам ( RMM ) и совпадающий стиль записок с требованиями выкупа. Эта преемственность позволила аналитикам точно связать два имени с одной преступной сетью. По оценкам ФБР и Агентства по кибербезопасности США, с сентября 2022 года через Royal и BlackSuit было атаковано более 350 организаций с общим объёмом выкупов, превышающим $500 миллионов.<br/>
<br/>
Однако на этом история не заканчивается. Исследователи из Cisco Talos сообщили , что группа, вероятно, готовит очередную смену облика. Новый предполагаемый псевдоним — Chaos. Уровень уверенности в такой трансформации оценивается как «умеренный», но подтверждается совпадением не только в тактике атак и структуре требований, но и в технической реализации шифрования.<br/>
<br/>
Переход от одного имени к другому, смена инструментария, а также использование так называемой «персонализации угроз» — всё это давно стало частью стратегии вымогателей, позволяющей уходить от слежки, сохранять анонимность и поддерживать страховую ценность утёкших данных. Несмотря на громкие ликвидации, сама преступная сеть в таких случаях редко исчезает полностью — она просто выходит под новым именем и продолжает ту же деятельность с новыми жертвами.<br/>
<br/>
В условиях постоянной эволюции таких групп, борьба с вымогательским ПО превращается в гонку на истощение, где каждая временная победа — лишь отсрочка до следующей атаки. Операция Checkmate стала болезненным ударом по BlackSuit, но пока у этих групп есть финансирование, доступ к разработчикам и инфраструктуре, они будут находить новые пути к цифровому вымогательству.<br/>
<br/>
<a href="https://www.securitylab.ru/news/561750.php" target="_blank">@ SecurityLab </a>
</div>