Operazione Checkmate: sequestrati i domini del Dark Web del ransomware BlackSuit
Questa settimana, le forze dell'ordine internazionali hanno inferto un duro colpo alla criminalità informatica, sequestrando con successo la vitale infrastruttura online del famigerato gruppo di ransomware BlackSuit . In un'operazione internazionale coordinata, denominata "Operazione Checkmate", le autorità hanno preso di mira e preso il controllo specifico dei siti di fuga di dati .onion e delle piattaforme di negoziazione del gruppo, che negli ultimi anni avevano compromesso centinaia di organizzazioni in tutto il mondo.
Il sequestro è stato confermato poiché due dei domini BlackSuit ( 1 , 2 ) ora mostrano un banner che annuncia la loro chiusura da parte delle forze dell'ordine, segnando una grande vittoria contro le minacce ransomware in tutto il mondo.
Questa operazione ha richiesto una solida collaborazione tra numerose agenzie di diversi paesi, tra cui il Dipartimento per la Sicurezza Interna degli Stati Uniti, l'FBI, Europol, la National Crime Agency del Regno Unito e le forze dell'ordine di Germania, Ucraina, Lituania e Canada. Anche l'azienda di sicurezza informatica Bitdefender ha svolto un ruolo chiave.
BlackSuit, emerso tra aprile e maggio 2023, ha utilizzato un metodo di " doppia estorsione " per colpire un'ampia gamma di vittime, tra cui ospedali, scuole, aziende ed enti governativi. Non ha mostrato alcuna preferenza specifica per settore o dimensione dell'organizzazione , prendendo di mira sia le grandi imprese che le piccole e medie imprese (PMI).
Tuttavia, analogamente al suo predecessore, il ransomware Royal, sembra che i gruppi all'interno della Comunità degli Stati Indipendenti (CSI) siano stati deliberatamente evitati.
Per quanto riguarda le tattiche di attacco, in primo luogo, si introducevano nelle reti informatiche, crittografando file importanti e rendendo inutilizzabili i sistemi. In secondo luogo, rubavano dati sensibili. Se le vittime si fossero rifiutate di pagare il riscatto, BlackSuit minacciava di pubblicare le informazioni rubate sui propri siti di fuga di notizie, aumentando ulteriormente la pressione. I siti web sequestrati erano essenziali per BlackSuit per comunicare con le vittime e archiviare i dati rubati, rendendo ora difficile per la gang trarre profitto dalle proprie attività illegali.
Gli esperti di sicurezza ritengono che BlackSuit si sia probabilmente evoluto da precedenti gruppi ransomware, probabilmente collegati alla gang ransomware Royal o persino al noto sindacato Conti . BlackSuit stesso è un rebranding del ransomware Royal, attivo da settembre 2022 a giugno 2023 e noto per aver richiesto oltre 500 milioni di dollari di riscatti a centinaia di organizzazioni in tutto il mondo. Tra le vittime più note di BlackSuit figurano l'azienda giapponese Kadokawa, il Tampa Bay Zoo e Octapharma, un'organizzazione per la raccolta del plasma sanguigno.
Nonostante l'Operazione Checkmate sia un grande successo, gli esperti di sicurezza informatica avvertono che i gruppi ransomware spesso ricompaiono con nuovi nomi. Infatti, il 24 luglio 2025, l'intelligence sulle minacce di Cisco Talos ha segnalato prove che suggeriscono che alcuni ex membri di BlackSuit potrebbero aver già cambiato nome in " Chaos ransomware ", attivo dal febbraio 2025.
Questo nuovo gruppo, a quanto pare, utilizza metodi di attacco simili, tra cui la doppia estorsione, e prende di mira sistemi Windows , ESXi , Linux e NAS . Tuttavia, Operation Checkmate dimostra chiaramente che il lavoro di squadra internazionale è uno strumento potente contro la criminalità informatica globale.
HackRead
