Operation Checkmate: Dark-Web-Domains der BlackSuit-Ransomware beschlagnahmt
Internationale Strafverfolgungsbehörden haben der Cyberkriminalität diese Woche einen schweren Schlag versetzt und die wichtige Online-Infrastruktur der berüchtigten BlackSuit-Ransomware- Bande erfolgreich beschlagnahmt. In einer koordinierten internationalen Operation namens „Operation Checkmate“ nahmen die Behörden gezielt die .onion-Datenleck-Websites und Verhandlungsplattformen der Gruppe ins Visier und übernahmen die Kontrolle. Diese hatten in den letzten Jahren Hunderte von Organisationen weltweit kompromittiert.
Die Beschlagnahmung wurde bestätigt, da auf zwei der BlackSuit-Domänen ( 1 , 2 ) nun ein Banner angezeigt wird, das ihre Schließung durch die Strafverfolgungsbehörden ankündigt. Dies stellt einen großen Sieg im Kampf gegen Ransomware-Bedrohungen weltweit dar.
Bei dieser Operation arbeiteten zahlreiche Behörden verschiedener Länder eng zusammen, darunter das US-Heimatschutzministerium, das FBI, Europol, die britische National Crime Agency sowie Strafverfolgungsbehörden aus Deutschland, der Ukraine, Litauen und Kanada. Auch das Cybersicherheitsunternehmen Bitdefender spielte eine Schlüsselrolle.
BlackSuit, das im April/Mai 2023 auftauchte, nutzte eine Methode der „ Doppelerpressung “, um ein breites Spektrum an Opfern ins Visier zu nehmen, darunter Krankenhäuser, Schulen, Unternehmen und Behörden. Die Malware zeigte keine spezifische Präferenz für Branchen oder Unternehmensgrößen und zielte sowohl auf Großunternehmen als auch auf kleine und mittlere Unternehmen (KMU) ab.
Allerdings scheint es, ähnlich wie bei seinem Vorgänger, der Ransomware Royal, so zu sein, dass Gruppen innerhalb der Gemeinschaft Unabhängiger Staaten (GUS) bewusst gemieden wurden.
Die Angriffstaktik bestand darin, zunächst in Computernetzwerke einzudringen, wichtige Dateien zu verschlüsseln und Systeme unbrauchbar zu machen. Anschließend stahlen sie sensible Daten. Sollten die Opfer das Lösegeld nicht zahlen, drohte BlackSuit mit der Veröffentlichung der gestohlenen Informationen auf ihren Leak-Websites, was den Druck zusätzlich erhöhte. Diese beschlagnahmten Websites waren für BlackSuit unerlässlich, um mit den Opfern zu kommunizieren und gestohlene Daten zu speichern. Dies erschwerte es der Bande, von ihren illegalen Aktivitäten zu profitieren.
Sicherheitsexperten gehen davon aus, dass BlackSuit wahrscheinlich aus früheren Ransomware-Gruppen hervorgegangen ist und möglicherweise mit der Royal-Ransomware-Bande oder sogar dem bekannten Conti-Syndikat in Verbindung steht. BlackSuit selbst ist eine Neuauflage der Royal-Ransomware, die von September 2022 bis Juni 2023 aktiv war und nachweislich über 500 Millionen US-Dollar Lösegeld von Hunderten von Organisationen weltweit forderte. Zu den namhaften Opfern von BlackSuit zählen das japanische Unternehmen Kadokawa, der Tampa Bay Zoo und Octapharma, ein Blutplasma-Sammelunternehmen.
Obwohl Operation Checkmate ein großer Erfolg ist, warnen Cybersicherheitsexperten, dass Ransomware-Gruppen häufig unter neuem Namen wieder auftauchen. Tatsächlich berichtete Cisco Talos Threat Intelligence am 24. Juli 2025, dass Hinweise darauf hindeuten, dass sich einige ehemalige BlackSuit-Mitglieder möglicherweise bereits als „ Chaos-Ransomware “ umbenannt haben und seit Februar 2025 aktiv sind.
Diese neue Gruppe verwendet Berichten zufolge ähnliche Angriffsmethoden, darunter doppelte Erpressung, und zielt auf Systeme unter Windows , ESXi , Linux und NAS ab. Operation Checkmate zeigt jedoch deutlich, dass internationale Teamarbeit ein wirksames Mittel gegen die globale Cyberkriminalität ist.
HackRead
