Una operación conjunta liderada por autoridades de los Estados Unidos y apoyada por otros nueve países logró desactivar los sitios clandestinos de BlackSuit, una de las bandas de ransomware más prolíficas del último año, aunque advierten que sus miembros ya podrían estar operando bajo un nuevo nombre.
Una operación internacional logró dar un duro golpe al cibercrimen en los últimos días, esto tras confiscar la infraestructura del grupo de ransomware BlackSuit, uno de los actores de amenaza más prolíficos del último año. El pasado 24 de julio, los usuarios que intentaron acceder al sitio de filtración de datos del grupo en la red TOR se encontraron con un mensaje inesperado: “Este sitio ha sido incautado por Investigaciones de Seguridad Nacional de los Estados Unidos como parte de una investigación internacional coordinada”.
La acción, bautizada como Operación Checkmate, fue liderada por el Departamento de Justicia de los Estados Unidos y ejecutada con el respaldo de 16 agencias policiales de nueve países, incluyendo Reino Unido, Ucrania, Letonia, Alemania y Países Bajos, así como entidades como Europol y la empresa de ciberseguridad Bitdefender. El banner que aparece en los dominios incautados muestra los logotipos de 17 organizaciones, entre ellas el Servicio Secreto de los Estados Unidos, la Policía Nacional de los Países Bajos, y la Agencia Nacional contra el Crimen del Reino Unido.
BlackSuit surgió en mayo de 2023 como una evolución del grupo Royal, a su vez heredero del notorio colectivo Conti. Desde entonces, BlackSuit ha reivindicado al menos 184 víctimas.
El grupo se distinguía por su modelo cerrado de operación, sin ofrecer sus herramientas en esquemas de Ransomware-as-a-service (RaaS). En su lugar, mantenía control exclusivo sobre sus ataques, ejecutando tácticas sofisticadas como la doble extorsión -encriptando los datos y amenazando con publicarlos si no se paga el rescate- y utilizando software legítimo de monitoreo remoto para mantener presencia dentro de las redes comprometidas.
“Talos evalúa con confianza moderada que el nuevo grupo de ransomware Chaos es una reconfiguración de BlackSuit (Royal) o que está operado por algunos de sus exmiembros”, indicó Cisco Talos Incident Response en un informe publicado el mismo día del desmantelamiento. Esta afirmación se basa en similitudes en el cifrado, la estructura de las notas de rescate y el uso de herramientas como LOLBins y software de gestión remota.
A pesar del éxito operativo, no se ha informado de detenciones, lo que sugiere que los actores detrás de BlackSuit podrían haber migrado rápidamente a nuevas operaciones, tal como ocurrió tras la disolución de Conti.
Según una alerta conjunta emitida en 2024 por el FBI y la Agencia de Ciberseguridad de los Estados Unidos, CISA, BlackSuit habría exigido más de 500 millones de dólares en pagos de rescate en menos de dos años, con demandas individuales que oscilaron entre uno y diez millones, y una cifra récord de 60 millones. Aunque el golpe contra su infraestructura es significativo, el futuro inmediato del grupo sigue siendo incierto. Todo apunta a que, como sus predecesores, los operadores de BlackSuit están ya mutando hacia nuevas identidades, adaptándose con rapidez a los embates de la justicia internacional.