США раскрыли детали тайной операции против BlackSuit: сервера, домены и миллионы под арестом

Американские власти раскрыли детали июльской операции против группировки BlackSuit: координированное вмешательство привело к отключению инфраструктуры вымогателей и изъятию цифровых активов. 24 июля, в ходе международного удара под руководством Homeland Security Investigations (HSI), силовики забрали под контроль четыре сервера и девять доменных имён, включая основной onion-сайт, на котором появился баннер о реквизиции. Дополнительно арестованы криптовалюты на сумму свыше миллиона долларов, ранее прогнанные через схемы отмывания.

Ведомства подчёркивают, что цель заключалась не только в физическом демонтаже узлов, но и в разборке экосистемы, на которой держится бизнес вымогателей: каналы связи с сообщниками, площадки переговоров, финансовые маршруты. Операция стала возможной благодаря многосторонней координации — именно совместные действия позволили синхронно лишить операторов доступа к сервисам, подменить витрины, перекрыть кошельки и зафиксировать артефакты для уголовных дел.

По объёму ущерба BlackSuit (ранее действовавшая под маркой Royal) прославилась требованиями на сотни миллионов. Только по оценкам американских следователей, организация добивалась выплат суммарно более чем на 500 млн долларов от сотен атакованных компаний и учреждений. Министерство юстиции указывает, что в числе арестованных активов оказался массив виртуальной валюты на 1 091 453 доллара (по курсу на момент похищения) — эти средства фигурируют в судебном ордере как поступления, многократно гонявшиеся через аккаунт на криптобирже до блокировки 9 января 2024 года.

Под удар попадали отрасли с критической значимостью: производство, органы власти, здравоохранение, общественное здоровье, коммерческие объекты. В Агентстве национальной безопасности такие кампании назвали устойчивой угрозой общественной безопасности, поскольку парализуют муниципальные службы, медицинские сети и подрядчиков, отвечающих за жизненно важные процессы.

Рейд стал частью операции Checkmate, в которой, помимо HSI, участвовали ещё 16 партнёров: Европол, Национальное агентство по борьбе с преступностью Великобритании (NCA), Управление по контролю за иностранными активами США (OFAC), компания Bitdefender, а также профильные структуры Украины, Литвы, Канады, Ирландии, Германии и Франции. Совместная группа обеспечивала юридическое сопровождение, технический анализ, обмен телеметрией и оперативное исполнение ордеров в разных юрисдикциях.

Несмотря на разгром узлов, исследователи предупреждают о типичном для вымогателей манёвре — смене вывески. По данным Cisco Talos, опубликованным 24 июля, на рынке с февраля действует новая платформа «как сервис» под названием Chaos, копирующая крупную дичь и двойное вымогательство: сначала кража данных, затем шифрование и торг. Аналитики с умеренной уверенностью связывают новый бренд с прежними участниками BlackSuit/Royal по совпадениям в методике шифрования, структуре записок с требованиями и набору утилит, применяемых в компрометациях.

Рекламные сообщения о партнёрской программе Chaos замечены на русскоязычном криминальном форуме в даркнете. Операторы обещают поражение Windows, ESXi, Linux и сетевых хранилищ, набор инструментов для шантажа и сопровождение сделки. Исследователи подчёркивают, что нынешний Chaos не имеет отношения к более раннему конструктору вредоносов с тем же названием — обозначение выбрано ради маскировки и путаницы для аналитиков. На «слив-сайте» группировки по состоянию на понедельник числится свыше 18 жертв, суммы запросов стартуют от 300 тысяч долларов. За оплату злоумышленники обещают дешифратор и «подробный отчёт о проведённом пентесте среды», при провале переговоров грозят публикацией выгруженных файлов и DDoS-давлением. В мае среди пострадавших указывалась благотворительная организация Salvation Army, чьи материалы позднее выложили в сеть.

Справка по BlackSuit/ Royal помогает понять масштаб. Коллектив вышел на сцену в начале 2022 года, взяв на себя взлом автодрома «Сильверстоун». По происхождению речь идёт о «сборной» из выходцев российских групп, включая фигурантов Conti; до появления собственного шифровальщика участники прибегали к сторонним веткам, среди которых BlackCat и Zeon. К концу 2023-го, после ребрендинга в BlackSuit, число зафиксированных потерпевших превысило 350, а общий объём выручки, по данным CISA, поднялся выше 275 млн долларов. В 2024 году группировка заявляла как минимум о 144 ударах.

По финансовой модели запросы варьировались от примерно 1 млн до 11 млн долларов в биткоине, оплата принималась через скрытый веб-сайт. В одном из эпизодов 2023 года компания перевела 49,3120227 BTC, что соответствовало 1 445 454,86 доллара на дату транзакции. Дальнейшая обработка этих монет, как следует из материалов Минюста, велась через многократные вводы и выводы на счёте криптобиржи с последующей заморозкой администратором площадки.

Активизация Royal/BlackSuit и смена названия в прошлом году подтолкнули американские ведомства к обновлению совместного предупреждения: документ описывает тактику, инструменты и процедуры нападений, включая использование фишинговых писем для первоначального доступа и систематическое выкачивание массивов перед шифрованием. В числе резонансных эпизодов — атака на город Даллас в 2023-м с многонедельным параличом муниципальных служб и нарушениями в работе полиции и пожарных. За 2024-й к жертвам относились CDK Global (ПО для автодилеров), Young Consulting, школьный округ округа Кершо в Южной Каролине, полицейское управление Канзас-Сити и хоспис того же города.

Силовой удар в июле не означает финала истории, но создаёт серьёзные проблемы для ансамбля, лишённого привычных точек опоры. Перенос серверов, восстановление площадок, разбор полётов с партнёрами и переброска финансовых потоков займут время, а следовательно, снизят интенсивность кампаний и дадут дополнительное окно для превентивной защиты потенциальных целей.