Thought Leadership
Im Juli gelang US-Behörden und internationalen Partnern ein bedeutender Erfolg gegen die berüchtigte Ransomware-Gruppe BlackSuit.
Die koordinierte Aktion führte zur Abschaltung mehrerer Server, zur Beschlagnahmung von Domains und zur Sicherstellung von Kryptowährungen im Wert von über einer Million US-Dollar.
Internationale Operation „Checkmate“
Die Zerschlagung der Infrastruktur fand am 24. Juli statt und wurde vom US-Ministerium für Heimatschutz (HSI) geleitet. Unterstützt wurde die Aktion von 16 weiteren Partnern, darunter Europol, die britische National Crime Agency, die deutsche Polizei sowie Behörden aus Kanada, Frankreich, Irland, Litauen und der Ukraine. Auch die Sicherheitsfirma Bitdefender war beteiligt.
Insgesamt wurden vier Server, neun Domains und weitere digitale Ressourcen aus dem Netz genommen – darunter auch die Hauptseite der Gruppe im Tor-Netzwerk. Laut HSI zielte der Einsatz nicht nur auf einzelne Systeme, sondern auf das gesamte kriminelle Ökosystem.
Das US-Justizministerium teilte mit, dass rund 1,09 Millionen US-Dollar aus Lösegeldzahlungen eingefroren werden konnten. Diese Gelder stammten aus Erpressungen, bei denen die Opfer hohe Bitcoin-Beträge für die Entschlüsselung ihrer Daten zahlen mussten.
Zielscheiben in kritischer Infrastruktur
Seit ihrem Auftreten unter dem Namen Royal im Jahr 2022 hatte BlackSuit gezielt Sektoren wie Gesundheitswesen, öffentliche Verwaltung, Fertigungsindustrie und Energieversorgung angegriffen. Die Gruppe soll insgesamt über 500 Millionen US-Dollar Lösegeld gefordert und bis Ende 2023 mindestens 275 Millionen US-Dollar von mehr als 350 Opfern erpresst haben.
Bekannte Vorfälle waren unter anderem der Angriff auf die Stadt Dallas im Jahr 2023 sowie auf das Unternehmen CDK Global und den Kansas City Police Department im Jahr 2024.
Verdacht: Wiederauftauchen als „Chaos“
Trotz der massiven Zerschlagung vermuten Sicherheitsexperten, dass ehemalige BlackSuit-Mitglieder inzwischen unter neuem Namen operieren. Forschende von Cisco Talos berichten, dass seit Februar eine Gruppe namens Chaos Ransomware aktiv ist.
Die Angriffsmethoden ähneln stark denen von BlackSuit, darunter „Double Extortion“-Strategien – also die Kombination aus Datendiebstahl und Verschlüsselung. Auch die eingesetzte Software und die Struktur der Erpresserschreiben weisen Parallelen auf.
Chaos bewirbt seine Ransomware offenbar im russischsprachigen Untergrundforum und bietet sie als „Ransomware-as-a-Service“ an. Als Plattform kann sie Windows-, Linux-, ESXi- und NAS-Systeme angreifen. Bisher sollen mindestens 18 Opfer auf der Leak-Seite der Gruppe gelistet sein.
Hintergrund: Von Royal zu BlackSuit
BlackSuit ging 2023 aus der Ransomware-Gruppe Royal hervor, die sich wiederum aus ehemaligen Mitgliedern bekannter russischer Cyberbanden wie Conti zusammensetzte. Zunächst nutzten die Täter fremde Schadsoftware, bevor sie eigene Varianten entwickelten.
Die Forderungen reichten von einer Million bis zu elf Millionen US-Dollar in Bitcoin. In einem Fall zahlte ein Opfer 49,3120227 Bitcoin, was damals rund 1,45 Millionen US-Dollar entsprach. Ein Teil dieser Summe wurde später von einer Kryptobörse eingefroren.
