США раскрыли детали тайной операции против BlackSuit: сервера, домены и миллионы под арестом

Американские власти раскрыли детали июльской операции против группировки BlackSuit : координированное вмешательство привело к отключению инфраструктуры вымогателей и изъятию цифровых активов. 24 июля, в ходе международного удара под руководством Homeland Security Investigations (HSI), силовики забрали под контроль четыре сервера и девять доменных имён, включая основной onion-сайт, на котором появился баннер о реквизиции. Дополнительно арестованы криптовалюты на сумму свыше миллиона долларов, ранее прогнанные через схемы отмывания.

Ведомства подчёркивают, что цель заключалась не только в физическом демонтаже узлов, но и в разборке экосистемы, на которой держится бизнес вымогателей: каналы связи с сообщниками, площадки переговоров, финансовые маршруты. Операция стала возможной благодаря многосторонней координации — именно совместные действия позволили синхронно лишить операторов доступа к сервисам, подменить витрины, перекрыть кошельки и зафиксировать артефакты для уголовных дел.

По объёму ущерба BlackSuit (ранее действовавшая под маркой Royal ) прославилась требованиями на сотни миллионов. Только по оценкам американских следователей, организация добивалась выплат суммарно более чем на 500 млн долларов от сотен атакованных компаний и учреждений. Министерство юстиции указывает, что в числе арестованных активов оказался массив виртуальной валюты на 1 091 453 доллара (по курсу на момент похищения) — эти средства фигурируют в судебном ордере как поступления, многократно гонявшиеся через аккаунт на криптобирже до блокировки 9 января 2024 года.

Под удар попадали отрасли с критической значимостью: производство, органы власти, здравоохранение, общественное здоровье, коммерческие объекты. В Агентстве национальной безопасности такие кампании назвали устойчивой угрозой общественной безопасности, поскольку парализуют муниципальные службы, медицинские сети и подрядчиков, отвечающих за жизненно важные процессы.

Рейд стал частью операции Checkmate , в которой, помимо HSI, участвовали ещё 16 партнёров: Европол, Национальное агентство по борьбе с преступностью Великобритании (NCA), Управление по контролю за иностранными активами США (OFAC), компания Bitdefender, а также профильные структуры Украины, Литвы, Канады, Ирландии, Германии и Франции. Совместная группа обеспечивала юридическое сопровождение, технический анализ, обмен телеметрией и оперативное исполнение ордеров в разных юрисдикциях.

Несмотря на разгром узлов, исследователи предупреждают о типичном для вымогателей манёвре — смене вывески. По данным Cisco Talos , опубликованным 24 июля, на рынке с февраля действует новая платформа «как сервис» под названием Chaos, копирующая крупную дичь и двойное вымогательство: сначала кража данных, затем шифрование и торг. Аналитики с умеренной уверенностью связывают новый бренд с прежними участниками BlackSuit/Royal по совпадениям в методике шифрования, структуре записок с требованиями и набору утилит, применяемых в компрометациях.

Рекламные сообщения о партнёрской программе Chaos замечены на русскоязычном криминальном форуме в даркнете. Операторы обещают поражение Windows, ESXi, Linux и сетевых хранилищ, набор инструментов для шантажа и сопровождение сделки. Исследователи подчёркивают, что нынешний Chaos не имеет отношения к более раннему конструктору вредоносов с тем же названием — обозначение выбрано ради маскировки и путаницы для аналитиков. На «слив-сайте» группировки по состоянию на понедельник числится свыше 18 жертв, суммы запросов стартуют от 300 тысяч долларов. За оплату злоумышленники обещают дешифратор и «подробный отчёт о проведённом пентесте среды», при провале переговоров грозят публикацией выгруженных файлов и DDoS-давлением. В мае среди пострадавших указывалась благотворительная организация Salvation Army, чьи материалы позднее выложили в сеть.

Справка по BlackSuit/ Royal помогает понять масштаб. Коллектив вышел на сцену в начале 2022 года, взяв на себя взлом автодрома «Сильверстоун». По происхождению речь идёт о «сборной» из выходцев российских групп, включая фигурантов Conti; до появления собственного шифровальщика участники прибегали к сторонним веткам, среди которых BlackCat и Zeon. К концу 2023-го, после ребрендинга в BlackSuit, число зафиксированных потерпевших превысило 350, а общий объём выручки, по данным CISA, поднялся выше 275 млн долларов. В 2024 году группировка заявляла как минимум о 144 ударах.

По финансовой модели запросы варьировались от примерно 1 млн до 11 млн долларов в биткоине, оплата принималась через скрытый веб-сайт. В одном из эпизодов 2023 года компания перевела 49,3120227 BTC, что соответствовало 1 445 454,86 доллара на дату транзакции. Дальнейшая обработка этих монет, как следует из материалов Минюста, велась через многократные вводы и выводы на счёте криптобиржи с последующей заморозкой администратором площадки.

Активизация Royal/BlackSuit и смена названия в прошлом году подтолкнули американские ведомства к обновлению совместного предупреждения: документ описывает тактику, инструменты и процедуры нападений, включая использование фишинговых писем для первоначального доступа и систематическое выкачивание массивов перед шифрованием. В числе резонансных эпизодов — атака на город Даллас в 2023-м с многонедельным параличом муниципальных служб и нарушениями в работе полиции и пожарных. За 2024-й к жертвам относились CDK Global (ПО для автодилеров), Young Consulting, школьный округ округа Кершо в Южной Каролине, полицейское управление Канзас-Сити и хоспис того же города.

Силовой удар в июле не означает финала истории, но создаёт серьёзные проблемы для ансамбля, лишённого привычных точек опоры. Перенос серверов, восстановление площадок, разбор полётов с партнёрами и переброска финансовых потоков займут время, а следовательно, снизят интенсивность кампаний и дадут дополнительное окно для превентивной защиты потенциальных целей.