В ходе крупномасштабной операции правоохранительных органов были отключены сайт группировки BlackSuit, занимающийся компрометацией данных в даркнете, и закрытые переговорные площадки. 24 июля на главном ресурсе преступной организации, обычно доступном через TOR, появился баннер с сообщением о блокировке Службой внутренней безопасности США в рамках скоординированного международного расследования.

В операции, получившей название Operation Checkmate, участвовали американский Минюст и 16 других силовых органов из девяти стран. В международную коалицию вошли США, Великобритания, Германия, Нидерланды, Украина и Латвия, а также Европол и Bitdefender, частная ИБ-компания, базирующаяся в Румынии и тех же США.

BlackSuit — это группа операторов вымогательского ПО, появившаяся в мае 2023 года. По данным сайта Ransomware.live, число её жертв составило 184 человека. Предполагается, что эта организация представляет собой новую итерацию группировки вымогателей Royal, которая, в свою очередь, является преемницей Conti. Последняя была известна своей агрессивной тактикой и громкими акциями, включая масштабную кибератаку 2022 года на правительственные системы Коста-Рики. Также Royal приобрела известность благодаря взломам городских систем в США: например, атака на Даллас в мае 2023-го нарушила работу муниципальных служб и скомпрометировала более терабайта данных.

Тогда же, в мае 2023 года, члены Royal начали тестировать новый шифровальщик BlackSuit, что и привело к ребрендингу группы. С момента своего создания BlackSuit участвовала в нескольких крупных акциях. В апреле 2024-го она атаковала компанию Octapharma Plasma, заблокировав процессы более 160 центров сдачи плазмы крови по всей территории США. Организация использует изощрённые методы, включая двойное вымогательство (когда шифрует данные жертв и угрожает опубликовать их в случае невыплаты выкупа). Помимо этого, она была замечена в использовании легитимного ПО для удалённого мониторинга и управления в сетях жертв.

Согласно рекомендациям по безопасности, опубликованным Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) в прошлом августе, требования BlackSuit о выкупе обычно варьировались в диапазоне от одного до десяти миллионов долларов в биткоинах, а максимальная сумма, запрошенная злоумышленниками, составила 60 млн долларов. Сообщается, что в общей сложности за два года своей деятельности хакеры потребовали от своих жертв более 500 млн долларов.

Несмотря на новость о закрытии части инфраструктуры BlackSuit, участники группировки не были арестованы, а некоторые из них, возможно, уже перешли на другую деятельность, связанную с программами-вымогателями. По данным отчёта Cisco Talos от 24 июля, новая группа шифровальщиков Chaos, вероятно, была основана членами BlackSuit. Эта оценка основана на сходстве методов, тактик и процедур при проведении атак.

 

Усам Оздемиров

31 июля, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»
15.09.2025
Утечка данных в Wealthsimple подтвердила тенденцию к росту киберрисков в Канаде
12.09.2025
Албания доверила госзакупки искусственному интеллекту
12.09.2025
На «Госуслугах» теперь можно запретить себе SIM-карту
12.09.2025
Даркнет сам приходит к «Максу»?
12.09.2025
Половина россиян не одобряет блокировку звонков в мессенджерах

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных