Операция «Шах и мат»: домены программы-вымогателя BlackSuit в даркнете арестованы

На этой неделе международные правоохранительные органы нанесли серьёзный удар по киберпреступности, успешно захватив жизненно важную онлайн-инфраструктуру печально известной группировки, занимающейся распространением вирусов-вымогателей BlackSuit . В ходе скоординированной международной операции под названием «Шах и мат» власти целенаправленно взяли под контроль сайты группировки, занимающиеся утечкой данных в домене .onion, и её переговорные платформы, которые за последние годы скомпрометировали сотни организаций по всему миру.

Факт ареста подтвержден, поскольку на двух доменах BlackSuit ( 1 , 2 ) теперь размещен баннер, объявляющий об их закрытии правоохранительными органами, что знаменует собой крупную победу над угрозами программ-вымогателей по всему миру.

Эта операция потребовала тесного взаимодействия многочисленных ведомств из разных стран, включая Министерство внутренней безопасности США, ФБР, Европол, Национальное агентство по борьбе с преступностью Великобритании, а также правоохранительные органы Германии, Украины, Литвы и Канады. Ключевую роль в ней сыграла компания Bitdefender, специализирующаяся на кибербезопасности.

Атака BlackSuit, появившаяся в апреле/мае 2023 года, использовала метод « двойного вымогательства », атакуя широкий круг жертв, включая больницы, школы, предприятия и государственные учреждения. Они не проявляли особых предпочтений по отраслям или размерам организаций , нацеливаясь как на крупные предприятия, так и на предприятия малого и среднего бизнеса (МСБ).

Однако, как и в случае с его предшественником, вирусом-вымогателем Royal, группировки в пределах Содружества Независимых Государств (СНГ) были, по-видимому, намеренно обойдены вниманием.

Что касается тактики атак, то сначала они взламывали компьютерные сети, шифровали важные файлы и выводили системы из строя. Затем они похищали конфиденциальные данные. Если жертвы отказывались платить выкуп, BlackSuit угрожали опубликовать украденную информацию на своих сайтах, что усиливало давление. Эти захваченные сайты были необходимы BlackSuit для связи с жертвами и хранения украденных данных, что затрудняло банде получение прибыли от своей незаконной деятельности.

Эксперты по безопасности полагают, что BlackSuit, вероятно, произошел от более ранних группировок, занимающихся вирусами-вымогателями, возможно, связанных с группировкой Royal или даже с известным синдикатом Conti . BlackSuit — это ребрендинг Royal, который действовал с сентября 2022 года по июнь 2023 года и, как известно, потребовал выкуп на сумму более 500 миллионов долларов от сотен организаций по всему миру. Среди известных жертв BlackSuit — японская компания Kadokawa, зоопарк Тампа-Бэй и организация по сбору плазмы крови Octapharma.

Несмотря на большой успех операции «Шах и мат», эксперты по кибербезопасности предупреждают, что группы, занимающиеся вирусами-вымогателями, часто появляются под новыми названиями. Более того, 24 июля 2025 года служба анализа угроз Cisco Talos сообщила , что, по имеющимся данным, некоторые бывшие участники BlackSuit, возможно, уже переименовались в « Chaos ransomware » и действуют с февраля 2025 года.

Сообщается, что эта новая группа использует схожие методы атак, включая двойное вымогательство, и атакует системы на базе Windows , ESXi , Linux и NAS . Однако операция «Checkmate» наглядно демонстрирует, что международное командное взаимодействие — мощный инструмент борьбы с глобальной киберпреступностью.