Спецслужбы пяти стран объединились против наследников легендарного преступного синдиката.
Правоохранительные органы провели
международную операцию по ликвидации цифровой инфраструктуры одного из самых активных вымогательских проектов последнего десятилетия — BlackSuit. Это киберпреступное объединение стояло за сотнями атак на государственные учреждения, корпорации и другие организации по всему миру. Теперь их сайты на теневом сегменте интернета, включая площадки для публикации утёкших данных и переговорные страницы, заменены официальными баннерами о конфискации.
По заявлению Минюста США, операция проходила под кодовым названием Operation Checkmate и была санкционирована судом. Основную работу выполнило подразделение Homeland Security Investigations при участии таких ведомств, как Секретная служба США, Национальное агентство по борьбе с преступностью Великобритании, прокуратура Франкфурта, государственная криминальная полиция Германии и Национальная полиция Нидерландов. В операции также участвовала компания Bitdefender, но подробностей её участия пока не раскрывают.
BlackSuit начинался как Quantum в январе 2022 года и с самого начала имел родственные связи с легендарным вымогательским синдикатом Conti. Вскоре после старта они перестали использовать сторонние шифровальщики и запустили собственный — Zeon. В сентябре того же года проект получил новое имя — Royal, а уже после атаки на город Даллас в 2023 году вновь сменил идентичность на BlackSuit, что сопровождалось внедрением нового шифратора.
Службы США уже в 2023 году сообщили, что Royal и BlackSuit используют одинаковые тактики, одинаковые инструменты и даже схожие команды шифрования, включая обращение к системным утилитам ( LOLbins ), удалённым административным программам ( RMM ) и совпадающий стиль записок с требованиями выкупа. Эта преемственность позволила аналитикам точно связать два имени с одной преступной сетью. По оценкам ФБР и Агентства по кибербезопасности США, с сентября 2022 года через Royal и BlackSuit было атаковано более 350 организаций с общим объёмом выкупов, превышающим $500 миллионов.
Однако на этом история не заканчивается. Исследователи из Cisco Talos сообщили , что группа, вероятно, готовит очередную смену облика. Новый предполагаемый псевдоним — Chaos. Уровень уверенности в такой трансформации оценивается как «умеренный», но подтверждается совпадением не только в тактике атак и структуре требований, но и в технической реализации шифрования.
Переход от одного имени к другому, смена инструментария, а также использование так называемой «персонализации угроз» — всё это давно стало частью стратегии вымогателей, позволяющей уходить от слежки, сохранять анонимность и поддерживать страховую ценность утёкших данных. Несмотря на громкие ликвидации, сама преступная сеть в таких случаях редко исчезает полностью — она просто выходит под новым именем и продолжает ту же деятельность с новыми жертвами.
В условиях постоянной эволюции таких групп, борьба с вымогательским ПО превращается в гонку на истощение, где каждая временная победа — лишь отсрочка до следующей атаки. Операция Checkmate стала болезненным ударом по BlackSuit, но пока у этих групп есть финансирование, доступ к разработчикам и инфраструктуре, они будут находить новые пути к цифровому вымогательству.
@ SecurityLab
07-27-2025, 02:10 PM
Threaded Mode