Operacja Checkmate: przejęte domeny dark webowe ransomware BlackSuit
Międzynarodowe organy ścigania zadały w tym tygodniu poważny cios cyberprzestępczości, skutecznie przejmując kluczową infrastrukturę internetową niesławnego gangu ransomware BlackSuit . W ramach skoordynowanej międzynarodowej operacji o nazwie „Operation Checkmate” (Operacja Checkmate), władze celowo zaatakowały i przejęły kontrolę nad stronami internetowymi grupy, służącymi do wycieku danych i platformami negocjacyjnymi .onion, które w ostatnich latach naruszyły bezpieczeństwo setek organizacji na całym świecie.
Przejęcie zostało potwierdzone, gdy dwie domeny BlackSuit ( 1 , 2 ) wyświetlają teraz baner informujący o ich zamknięciu przez organy ścigania, co oznacza znaczące zwycięstwo nad zagrożeniami typu ransomware na całym świecie.
Operacja ta wymagała ścisłej współpracy wielu agencji z różnych krajów, w tym Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, FBI, Europolu, brytyjskiej Narodowej Agencji ds. Przestępczości oraz organów ścigania z Niemiec, Ukrainy, Litwy i Kanady. Kluczową rolę odegrała również firma zajmująca się cyberbezpieczeństwem Bitdefender.
Ugrupowanie BlackSuit, które pojawiło się na przełomie kwietnia i maja 2023 roku, stosowało metodę „ podwójnego wymuszenia ”, atakując szerokie grono ofiar, w tym szpitale, szkoły, firmy i instytucje rządowe. Nie wykazywało ono żadnych preferencji co do branży ani wielkości organizacji , atakując zarówno duże przedsiębiorstwa, jak i małe i średnie przedsiębiorstwa (MŚP).
Jednak podobnie jak w przypadku jego poprzednika, oprogramowania ransomware Royal, wydaje się, że celowo omijano grupy z obszaru Wspólnoty Niepodległych Państw (WNP).
Jeśli chodzi o taktykę ataku, najpierw włamywali się do sieci komputerowych, szyfrując ważne pliki i uniemożliwiając korzystanie z systemów. Następnie kradli poufne dane. Jeśli ofiary odmawiały zapłaty okupu, BlackSuit groził opublikowaniem skradzionych informacji na swoich stronach internetowych, co zwiększało presję. Przejęte strony internetowe były niezbędne dla BlackSuit do komunikacji z ofiarami i przechowywania skradzionych danych, co utrudniało gangowi czerpanie korzyści z nielegalnej działalności.
Eksperci ds. bezpieczeństwa uważają, że BlackSuit prawdopodobnie wyewoluował z wcześniejszych grup ransomware, być może powiązanych z gangiem ransomware Royal, a nawet znanym syndykatem Conti . Sam BlackSuit to rebranding oprogramowania ransomware Royal, które było aktywne od września 2022 do czerwca 2023 roku i, jak wiadomo, zażądało ponad 500 milionów dolarów okupu od setek organizacji na całym świecie. Do znanych ofiar BlackSuit należą japońska firma Kadokawa, Tampa Bay Zoo oraz Octapharma, firma zajmująca się pobieraniem osocza krwi.
Chociaż operacja Checkmate odniosła ogromny sukces, eksperci ds. cyberbezpieczeństwa ostrzegają, że grupy ransomware często pojawiają się ponownie pod nowymi nazwami. W rzeczywistości, raport Cisco Talos z 24 lipca 2025 roku donosił o zagrożeniach, z których wynika, że niektórzy byli członkowie BlackSuit mogli już zmienić nazwę na „ Chaos ransomware ”, działając od lutego 2025 roku.
Ta nowa grupa podobno stosuje podobne metody ataków, w tym podwójne wymuszenia, i atakuje systemy Windows , ESXi , Linux i NAS . Jednak operacja Checkmate wyraźnie pokazuje, że międzynarodowa współpraca jest potężnym narzędziem w walce z globalną cyberprzestępczością.
HackRead
