Органы правопорядка реализовали глобальную операцию по уничтожению цифровой инфраструктуры одного из наиболее активных вымогательских проектов последнего десятилетия — BlackSuit. Это киберпреступное сообщество несло ответственность за множество атак на государственные учреждения, корпорации и другие организации по всему миру.
Теперь их онлайн-ресурсы в тёмной части интернета, включая платформы для размещения утёкших данных и страницы для ведения переговоров, заменены официальными баннерами о конфискации.
По информации Минюста США, операция проходила под кодовым названием Operation Checkmate и была санкционирована судом. Основную работу осуществило подразделение Homeland Security Investigations совместно с такими учреждениями, как Секретная служба США, Национальное агентство по борьбе с преступностью Великобритании, прокуратура Франкфурта, государственная криминальная полиция Германии и Национальная полиция Нидерландов. В операции также участвовала компания Bitdefender, но детали её участия пока остаются неизвестными.
BlackSuit начинался как Quantum в январе 2022 года и с самого начала имел родственные связи с легендарным вымогательским синдикатом Conti. Вскоре после старта они перестали использовать сторонние шифровальщики и запустили собственный — Zeon. В сентябре того же года проект получил новое имя — Royal, а уже после атаки на город Даллас в 2023 году вновь сменил идентичность на BlackSuit, что сопровождалось внедрением нового шифратора.
Службы США уже в 2023 году сообщили, что Royal и BlackSuit используют одинаковые тактики, одинаковые инструменты и даже схожие команды шифрования, включая обращение к системным утилитам ( LOLbins ), удалённым административным программам ( RMM ) и совпадающий стиль записок с требованиями выкупа. Эта преемственность позволила аналитикам точно связать два имени с одной преступной сетью. По оценкам ФБР и Агентства по кибербезопасности США, с сентября 2022 года через Royal и BlackSuit было атаковано более 350 организаций с общим объёмом выкупов, превышающим $500 миллионов.
Однако на этом история не заканчивается. Исследователи из Cisco Talos сообщили , что группа, вероятно, готовит очередную смену облика. Новый предполагаемый псевдоним — Chaos. Уровень уверенности в такой трансформации оценивается как «умеренный», но подтверждается совпадением не только в тактике атак и структуре требований, но и в технической реализации шифрования.
Переход от одного имени к другому, смена инструментария, а также использование так называемой «персонализации угроз» — всё это давно стало частью стратегии вымогателей, позволяющей уходить от слежки, сохранять анонимность и поддерживать страховую ценность утёкших данных. Несмотря на громкие ликвидации, сама преступная сеть в таких случаях редко исчезает полностью — она просто выходит под новым именем и продолжает ту же деятельность с новыми жертвами.
В условиях постоянной эволюции таких групп, борьба с вымогательским ПО превращается в гонку на истощение, где каждая временная победа — лишь отсрочка до следующей атаки. Операция Checkmate стала болезненным ударом по BlackSuit, но пока у этих групп есть финансирование, доступ к разработчикам и инфраструктуре, они будут находить новые пути к цифровому вымогательству.