ФБР и ЕС провели операцию против цифровой базы вымогательской банды BlackSuit

26 июля 2025 г., 23:57

445     0

ФБР и ЕС провели операцию против цифровой базы вымогательской банды BlackSuit

Спецслужбы пяти государств объединили усилия против наследников легендарного преступного синдиката.

Органы правопорядка реализовали глобальную операцию по уничтожению цифровой инфраструктуры одного из наиболее активных вымогательских проектов последнего десятилетия — BlackSuit. Это киберпреступное сообщество несло ответственность за множество атак на государственные учреждения, корпорации и другие организации по всему миру.

Теперь их онлайн-ресурсы в тёмной части интернета, включая платформы для размещения утёкших данных и страницы для ведения переговоров, заменены официальными баннерами о конфискации.

По информации Минюста США, операция проходила под кодовым названием Operation Checkmate и была санкционирована судом. Основную работу осуществило подразделение Homeland Security Investigations совместно с такими учреждениями, как Секретная служба США, Национальное агентство по борьбе с преступностью Великобритании, прокуратура Франкфурта, государственная криминальная полиция Германии и Национальная полиция Нидерландов. В операции также участвовала компания Bitdefender, но детали её участия пока остаются неизвестными.

BlackSuit начинался как Quantum в январе 2022 года и с самого начала имел родственные связи с легендарным вымогательским синдикатом Conti. Вскоре после старта они перестали использовать сторонние шифровальщики и запустили собственный — Zeon. В сентябре того же года проект получил новое имя — Royal, а уже после атаки на город Даллас в 2023 году вновь сменил идентичность на BlackSuit, что сопровождалось внедрением нового шифратора.

Службы США уже в 2023 году сообщили, что Royal и BlackSuit используют одинаковые тактики, одинаковые инструменты и даже схожие команды шифрования, включая обращение к системным утилитам ( LOLbins ), удалённым административным программам ( RMM ) и совпадающий стиль записок с требованиями выкупа. Эта преемственность позволила аналитикам точно связать два имени с одной преступной сетью. По оценкам ФБР и Агентства по кибербезопасности США, с сентября 2022 года через Royal и BlackSuit было атаковано более 350 организаций с общим объёмом выкупов, превышающим $500 миллионов.

Однако на этом история не заканчивается. Исследователи из Cisco Talos сообщили , что группа, вероятно, готовит очередную смену облика. Новый предполагаемый псевдоним — Chaos. Уровень уверенности в такой трансформации оценивается как «умеренный», но подтверждается совпадением не только в тактике атак и структуре требований, но и в технической реализации шифрования.

Переход от одного имени к другому, смена инструментария, а также использование так называемой «персонализации угроз» — всё это давно стало частью стратегии вымогателей, позволяющей уходить от слежки, сохранять анонимность и поддерживать страховую ценность утёкших данных. Несмотря на громкие ликвидации, сама преступная сеть в таких случаях редко исчезает полностью — она просто выходит под новым именем и продолжает ту же деятельность с новыми жертвами.

В условиях постоянной эволюции таких групп, борьба с вымогательским ПО превращается в гонку на истощение, где каждая временная победа — лишь отсрочка до следующей атаки. Операция Checkmate стала болезненным ударом по BlackSuit, но пока у этих групп есть финансирование, доступ к разработчикам и инфраструктуре, они будут находить новые пути к цифровому вымогательству.