Las fuerzas de seguridad estadounidenses han revelado detalles de una operación internacional que desmanteló la infraestructura central de la banda de ransomware BlackSuit, notoria por una serie de devastadores ciberataques. Hace casi dos semanas, los sitios de la dark web del grupo fueron reemplazados con un aviso de incautación, y las autoridades ahora han confirmado oficialmente la magnitud del desmantelamiento.
BlackSuit: de Royal a una amenaza global
BlackSuit — anteriormente conocido como Royal — ganó infamia tras un ataque en 2023 que paralizó la ciudad de Dallas. Desde su aparición en 2022, el grupo ha atacado más de 450 organizaciones en Estados Unidos, recaudando más de 370 millones de dólares en pagos de rescate, según los investigadores.
El FBI señala que las demandas totales de rescate superaron los 500 millones de dólares, con casos individuales que alcanzaron hasta 60 millones de dólares. Los objetivos incluyeron desde grandes corporaciones y gobiernos municipales hasta escuelas, universidades, la gigante mediática japonesa Kadokawa, el Tampa Bay Zoo y el proveedor de atención médica Octapharma, cuyos casi 200 centros de donación de plasma fueron cerrados temporalmente.
Operación Checkmate: coordinación internacional
La operación involucró agencias de aplicación de la ley de más de nueve países, incluyendo Alemania, Francia y Reino Unido. Las autoridades alemanas reportaron la incautación de la infraestructura técnica de BlackSuit y la confiscación de volúmenes sustanciales de datos, ahora bajo análisis para identificar miembros adicionales.
Los funcionarios estadounidenses confirmaron la captura de:
- Servidores utilizados para el despliegue del ransomware
- Dominios empleados para extorsión
- Activos digitales usados para lavado de dinero
Enfatizaron que desmantelar tal infraestructura requiere no solo desconectar servidores físicamente, sino también destruir todo el ecosistema que permite a los criminales operar con impunidad.
El rol clave de la colaboración público-privada
Con el nombre clave Operación Checkmate, el desmantelamiento fue coordinado por Europol. La empresa de ciberseguridad Bitdefender jugó un papel crucial, proporcionando soporte técnico y calificando el resultado como un paso significativo en la lucha contra el cibercrimen organizado.
El renacimiento bajo una nueva identidad: Chaos
Según Cisco Talos, algunos antiguos afiliados de BlackSuit ya se han reagrupado bajo una nueva bandera llamada Chaos. El análisis muestra que el nuevo ransomware comparte similitudes notables con su predecesor en:
- Métodos de encriptación
- Estructura de notas de rescate
- Conjunto de herramientas
El Departamento de Justicia de Estados Unidos anunció recientemente la incautación de 2.4 millones de dólares en criptomonedas de una billetera supuestamente vinculada a un miembro de Chaos conocido como Hors, conectado con ataques a víctimas en Texas y más allá.
Un golpe significativo pero no definitivo
BlackSuit y su predecesor Royal habían sido durante mucho tiempo una prioridad máxima para las agencias de inteligencia debido a la escala de su daño, incluyendo interrupciones a servicios de emergencia y sistemas gubernamentales.
Si bien la operación ha asestado un golpe severo a sus capacidades, la transformación de parte de la banda bajo un nuevo nombre es un recordatorio contundente de que la lucha contra el ransomware está lejos de terminar.
Impacto y cifras devastadoras
Las estadísticas revelan la magnitud del impacto de BlackSuit:
- 450+ organizaciones atacadas solo en Estados Unidos
- $370 millones recaudados en pagos de rescate
- $500+ millones en demandas totales de rescate
- Ataques individuales de hasta $60 millones
- Objetivos que van desde infraestructura crítica hasta servicios de salud
La operación internacional representa uno de los desmantelamientos más significativos de infraestructura de ransomware en los últimos años, pero la rápida reorganización de los criminales bajo nuevas identidades subraya la naturaleza persistente y adaptativa de estas amenazas cibernéticas.
