Операция «Шах и Мат»: как хакеры потеряли $500 млн за одну ночь

Operation Checkmate BlackSuit Conti Chaos Европол Минюст США ФБР вымогательское ПО
Операция «Шах и Мат»: как хакеры потеряли $500 млн за одну ночь
Operation Checkmate BlackSuit Conti Chaos Европол Минюст США ФБР вымогательское ПО

Спецслужбы пяти стран объединились против наследников легендарного преступного синдиката.

image

Правоохранительные органы провели международную операцию по ликвидации цифровой инфраструктуры одного из самых активных вымогательских проектов последнего десятилетия — BlackSuit. Это киберпреступное объединение стояло за сотнями атак на государственные учреждения, корпорации и другие организации по всему миру. Теперь их сайты на теневом сегменте интернета, включая площадки для публикации утёкших данных и переговорные страницы, заменены официальными баннерами о конфискации.

По заявлению Минюста США, операция проходила под кодовым названием Operation Checkmate и была санкционирована судом. Основную работу выполнило подразделение Homeland Security Investigations при участии таких ведомств, как Секретная служба США, Национальное агентство по борьбе с преступностью Великобритании, прокуратура Франкфурта, государственная криминальная полиция Германии и Национальная полиция Нидерландов. В операции также участвовала компания Bitdefender, но подробностей её участия пока не раскрывают.

BlackSuit начинался как Quantum в январе 2022 года и с самого начала имел родственные связи с легендарным вымогательским синдикатом Conti. Вскоре после старта они перестали использовать сторонние шифровальщики и запустили собственный — Zeon. В сентябре того же года проект получил новое имя — Royal, а уже после атаки на город Даллас в 2023 году вновь сменил идентичность на BlackSuit, что сопровождалось внедрением нового шифратора.

Службы США уже в 2023 году сообщили, что Royal и BlackSuit используют одинаковые тактики, одинаковые инструменты и даже схожие команды шифрования, включая обращение к системным утилитам ( LOLbins ), удалённым административным программам ( RMM ) и совпадающий стиль записок с требованиями выкупа. Эта преемственность позволила аналитикам точно связать два имени с одной преступной сетью. По оценкам ФБР и Агентства по кибербезопасности США, с сентября 2022 года через Royal и BlackSuit было атаковано более 350 организаций с общим объёмом выкупов, превышающим $500 миллионов.

Однако на этом история не заканчивается. Исследователи из Cisco Talos сообщили , что группа, вероятно, готовит очередную смену облика. Новый предполагаемый псевдоним — Chaos. Уровень уверенности в такой трансформации оценивается как «умеренный», но подтверждается совпадением не только в тактике атак и структуре требований, но и в технической реализации шифрования.

Переход от одного имени к другому, смена инструментария, а также использование так называемой «персонализации угроз» — всё это давно стало частью стратегии вымогателей, позволяющей уходить от слежки, сохранять анонимность и поддерживать страховую ценность утёкших данных. Несмотря на громкие ликвидации, сама преступная сеть в таких случаях редко исчезает полностью — она просто выходит под новым именем и продолжает ту же деятельность с новыми жертвами.

В условиях постоянной эволюции таких групп, борьба с вымогательским ПО превращается в гонку на истощение, где каждая временная победа — лишь отсрочка до следующей атаки. Операция Checkmate стала болезненным ударом по BlackSuit, но пока у этих групп есть финансирование, доступ к разработчикам и инфраструктуре, они будут находить новые пути к цифровому вымогательству.