В ходе крупномасштабной операции правоохранительных органов были отключены сайт группировки BlackSuit, занимающийся компрометацией данных в даркнете, и закрытые переговорные площадки. 24 июля на главном ресурсе преступной организации, обычно доступном через TOR, появился баннер с сообщением о блокировке Службой внутренней безопасности США в рамках скоординированного международного расследования.
В операции, получившей название Operation Checkmate, участвовали американский Минюст и 16 других силовых органов из девяти стран. В международную коалицию вошли США, Великобритания, Германия, Нидерланды, Украина и Латвия, а также Европол и Bitdefender, частная ИБ-компания, базирующаяся в Румынии и тех же США.
BlackSuit — это группа операторов вымогательского ПО, появившаяся в мае 2023 года. По данным сайта Ransomware.live, число её жертв составило 184 человека. Предполагается, что эта организация представляет собой новую итерацию группировки вымогателей Royal, которая, в свою очередь, является преемницей Conti. Последняя была известна своей агрессивной тактикой и громкими акциями, включая масштабную кибератаку 2022 года на правительственные системы Коста-Рики. Также Royal приобрела известность благодаря взломам городских систем в США: например, атака на Даллас в мае 2023-го нарушила работу муниципальных служб и скомпрометировала более терабайта данных.
Тогда же, в мае 2023 года, члены Royal начали тестировать новый шифровальщик BlackSuit, что и привело к ребрендингу группы. С момента своего создания BlackSuit участвовала в нескольких крупных акциях. В апреле 2024-го она атаковала компанию Octapharma Plasma, заблокировав процессы более 160 центров сдачи плазмы крови по всей территории США. Организация использует изощрённые методы, включая двойное вымогательство (когда шифрует данные жертв и угрожает опубликовать их в случае невыплаты выкупа). Помимо этого, она была замечена в использовании легитимного ПО для удалённого мониторинга и управления в сетях жертв.
Согласно рекомендациям по безопасности, опубликованным Агентством по кибербезопасности и безопасности инфраструктуры США (CISA) в прошлом августе, требования BlackSuit о выкупе обычно варьировались в диапазоне от одного до десяти миллионов долларов в биткоинах, а максимальная сумма, запрошенная злоумышленниками, составила 60 млн долларов. Сообщается, что в общей сложности за два года своей деятельности хакеры потребовали от своих жертв более 500 млн долларов.
Несмотря на новость о закрытии части инфраструктуры BlackSuit, участники группировки не были арестованы, а некоторые из них, возможно, уже перешли на другую деятельность, связанную с программами-вымогателями. По данным отчёта Cisco Talos от 24 июля, новая группа шифровальщиков Chaos, вероятно, была основана членами BlackSuit. Эта оценка основана на сходстве методов, тактик и процедур при проведении атак.
Усам Оздемиров
