Правоохранительные органы пресекли деятельность сайтов-вымогателей в даркнете, принадлежавших группировке BlackSuit, которая за последние несколько лет атаковала и взломала сети сотен организаций по всему миру.
Министерство юстиции США подтвердило факт удаления в электронном письме сегодня утром, заявив, что участвовавшие в акции власти осуществили санкционированный судом арест доменов BlackSuit.
Ранее сегодня веб-сайты на доменах BlackSuit .onion были заменены баннерами с объявлением о том, что сайты банды вирусов-вымогателей были закрыты Федеральным правоохранительным агентством США по расследованиям в сфере внутренней безопасности в рамках совместной международной операции под кодовым названием Operation Checkmate.
«Этот объект был арестован Службой внутренней безопасности США в рамках скоординированного международного правоохранительного расследования», — говорится на баннере.
BleepingComputer подтвердил, что среди арестованных сайтов были блоги об утечках данных в даркнете и сайты переговоров, которые использовались для вымогательства у жертв требований о выплате выкупа.
В этой совместной операции также приняли участие правоохранительные органы, в том числе Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Украинская киберполиция, Европол и другие.
Представитель румынской компании по кибербезопасности Bitdefender также сообщил BleepingComputer, что ее подразделение по борьбе с киберпреступностью (известное как Draco Team) предоставляло консультации и рекомендации по кибербезопасности партнерам по правоохранительным органам в ходе операции «Шах и мат».
«Мы высоко ценим слаженность и решимость наших партнёров из правоохранительных органов. Подобные операции подтверждают важнейшую роль государственно-частного партнёрства в отслеживании, выявлении и, в конечном итоге, ликвидации группировок, занимающихся распространением программ-вымогателей, которые действуют в тени», — заявили в Bitdefender.
Баннер о захвате BlackSuit (BleepingComputer)
В четверг группа по исследованию угроз Cisco Talos сообщила, что обнаружила доказательства, указывающие на то, что банда разработчиков вируса-вымогателя BlackSuit, вероятно, снова сменит название на Chaos Ransomware.
«Компания Talos с умеренной уверенностью оценивает, что новая группировка вирусов-вымогателей Chaos либо является ребрендингом вируса-вымогателя BlackSuit (Royal), либо ею управляют некоторые из ее бывших членов», — .
«Эта оценка основана на сходстве TTP, включая команды шифрования, тему и структуру записки с требованием выкупа, а также использование инструментов LOLbins и RMM в своих атаках».
BlackSuit и считается прямым преемником печально известного киберпреступного синдиката Conti. Изначально они использовали шифровальщики других банд (например, ALPHV/BlackCat), но вскоре после этого внедрили собственный шифровальщик Zeon и в сентябре 2022 года переименовались в Royal Ransomware.
В июне 2023 года, напав на , банда Royal, занимающаяся вымогательством , начала работать под названием BlackSuit после на фоне слухов о ребрендинге.
В совместном сообщении CISA и ФБР от было впервые заявлено , что Royal и BlackSuit используют схожую тактику, а их шифровальщики демонстрируют очевидное совпадение кодов. В том же сообщении упоминается связь группировки Royal, занимающейся разработкой вирусов-вымогателей, с атаками на более чем 350 организаций по всему миру с сентября 2022 года, в результате чего требования выкупа превысили 275 миллионов долларов.
оба агентства , что вирус-вымогатель Royal сменил название на BlackSuit и потребовал от жертв более 500 миллионов долларов с момента своего появления более двух лет назад.
Обновление от 24.07.2025: Статья обновлена с целью включения информации о том, что места переговоров также были захвачены.
Министерство юстиции США подтвердило факт удаления в электронном письме сегодня утром, заявив, что участвовавшие в акции власти осуществили санкционированный судом арест доменов BlackSuit.
Ранее сегодня веб-сайты на доменах BlackSuit .onion были заменены баннерами с объявлением о том, что сайты банды вирусов-вымогателей были закрыты Федеральным правоохранительным агентством США по расследованиям в сфере внутренней безопасности в рамках совместной международной операции под кодовым названием Operation Checkmate.
«Этот объект был арестован Службой внутренней безопасности США в рамках скоординированного международного правоохранительного расследования», — говорится на баннере.
BleepingComputer подтвердил, что среди арестованных сайтов были блоги об утечках данных в даркнете и сайты переговоров, которые использовались для вымогательства у жертв требований о выплате выкупа.
В этой совместной операции также приняли участие правоохранительные органы, в том числе Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Украинская киберполиция, Европол и другие.
Представитель румынской компании по кибербезопасности Bitdefender также сообщил BleepingComputer, что ее подразделение по борьбе с киберпреступностью (известное как Draco Team) предоставляло консультации и рекомендации по кибербезопасности партнерам по правоохранительным органам в ходе операции «Шах и мат».
«Мы высоко ценим слаженность и решимость наших партнёров из правоохранительных органов. Подобные операции подтверждают важнейшую роль государственно-частного партнёрства в отслеживании, выявлении и, в конечном итоге, ликвидации группировок, занимающихся распространением программ-вымогателей, которые действуют в тени», — заявили в Bitdefender.
Ребрендинг Chaos Ransomware
В четверг группа по исследованию угроз Cisco Talos сообщила, что обнаружила доказательства, указывающие на то, что банда разработчиков вируса-вымогателя BlackSuit, вероятно, снова сменит название на Chaos Ransomware.
«Компания Talos с умеренной уверенностью оценивает, что новая группировка вирусов-вымогателей Chaos либо является ребрендингом вируса-вымогателя BlackSuit (Royal), либо ею управляют некоторые из ее бывших членов», — .
«Эта оценка основана на сходстве TTP, включая команды шифрования, тему и структуру записки с требованием выкупа, а также использование инструментов LOLbins и RMM в своих атаках».
BlackSuit и считается прямым преемником печально известного киберпреступного синдиката Conti. Изначально они использовали шифровальщики других банд (например, ALPHV/BlackCat), но вскоре после этого внедрили собственный шифровальщик Zeon и в сентябре 2022 года переименовались в Royal Ransomware.
В июне 2023 года, напав на , банда Royal, занимающаяся вымогательством , начала работать под названием BlackSuit после на фоне слухов о ребрендинге.
В совместном сообщении CISA и ФБР от было впервые заявлено , что Royal и BlackSuit используют схожую тактику, а их шифровальщики демонстрируют очевидное совпадение кодов. В том же сообщении упоминается связь группировки Royal, занимающейся разработкой вирусов-вымогателей, с атаками на более чем 350 организаций по всему миру с сентября 2022 года, в результате чего требования выкупа превысили 275 миллионов долларов.
оба агентства , что вирус-вымогатель Royal сменил название на BlackSuit и потребовал от жертв более 500 миллионов долларов с момента своего появления более двух лет назад.
Обновление от 24.07.2025: Статья обновлена с целью включения информации о том, что места переговоров также были захвачены.
