暗网勒索软件团伙BlackSuit的暗网网站被执法部门查封
近期,作为一项国际执法行动的一部分,暗网勒索软件团伙BlackSuit的暗网网站已被查封。此次查封行动包括BlackSuit的谈判网站和数据泄露网站,这是根据法院授权的查封命令进行的。
目前两个暗网网站已被横幅广告取代,告知访问者美国国土安全调查局(U.S. Homeland Security Investigations)在“CheckMate行动”中查封了这些网站。此次执法行动的名称为“Operation Checkmate”,得到了多个执法合作伙伴的协助,包括美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构。罗马尼亚网络安全公司BitDefender也参与了此次行动。目前,当局尚未就此次行动及相关进展发布官方声明。
BitDefender称其专业的Draco团队自2023年5月BlackSuit出现以来,一直在研究这款勒索软件,为执法机构提供专业协助。这项工作是BitDefender与全球合作伙伴携手打击网络犯罪的持续承诺的一部分。Bitdefender已公开分享数十款免费的勒索软件解密工具,为全球企业节省了约16亿美元的赎金。
勒索软件团伙BlackSuit于2023年6月首次出现,以使用双重勒索手段和收取高额赎金而闻名,其中一些目标支付的赎金超过200万美元。过去一年,网络防御和情报团队对该组织进行了密切关注,力求了解其起源、运营和能力。
在对得克萨斯州达拉斯市发动勒索攻击后,BlackSuit团伙对品牌进行了重新定位。在此之前,该勒索软件团伙曾以“Royal”为名进行运营,时间跨度是从2022年9月至2023年6月,“Royal”最初于2022年底被确认为“Zeon”的一个分支。而在“Royal”之前,该团伙曾以“Quantum”为名运营,而“Quantum”据称是由Conti勒索软件团伙的成员创立。以“BlackSuit”为名运营期间,该勒索软件团伙在全球范围内声称攻击了超过185个目标,而在“Royal”时期则声称攻击了超过350个目标。
2022年秋,有报道开始将BlackSuit(当时以Royal的名义运营)背后的人员与Conti联系起来。Conti是一个知名勒索软件团伙,在经历了一年动荡的泄密和内部冲突后解散。Conti与BlackSuit(原Royal)之间的联系也引发了人们对BlackSuit行动地点的猜测,暗示其行动基地位于俄罗斯或乌克兰等地区。
尽管此次执法打击行动是个好消息,但研究人员指出,BlackSuit可能已更名,或其部分前成员已组建了一个新的名为“Chaos”的勒索软件团伙。思科Talos的研究人员在2025年6月24日的一篇博客文章中解释称,由于加密方法、勒索说明和攻击中使用的工具集与BlackSuit相似,他们有一定把握地认为该新团伙是由BlackSuit勒索软件团伙的成员组建的。目前,Chaos已经发动了至少十次勒索攻击,主要针对美国,该新勒索软件团伙似乎并未针对任何特定行业。
“BlackSuit基础设施的破坏标志着我们打击有组织网络犯罪的又一个重要里程碑,”参与此次行动的Bitdefender网络犯罪研究部门Draco Team的一位代表表示。“我们赞扬执法合作伙伴的协调和决心。此类行动强化了公私合作在追踪、揭露并最终瓦解暗中运作的勒索软件团体方面的关键作用。当全球专业执法力量齐心协力时,网络犯罪分子将无处遁形。”
2025年7月28日,美国联邦调查局达拉斯办事处宣布,从属于Chaos勒索软件集团成员的加密货币地址中查获了20枚比特币(目前价值约230万美元)。这些资金被追踪到一个名为“Hors”的关联方使用的比特币钱包,该关联方涉嫌对得克萨斯州北部地区及其他地区的公司发动攻击并勒索付款。美国司法部于2025年7月24日在得克萨斯州北部地区法院提起民事诉讼,寻求没收该笔资金,该资金于今年4月中旬被达拉斯联邦调查局查获。
BlackSuit的受害者 BlackSuit的主要目标行业是制造业、教育、研究、医疗保健和建筑行业等。制造业和医疗保健行业仍然是利润丰厚的目标,因为与政府和咨询业等其他行业相比,这些行业的预期利润和收入范围可能更广。BlackSuit攻击利润和预期收入更高的企业的策略,在识别零售业的潜在受害者时也同样适用。
BlackSuit的大多数受害者都是位于美国的组织,而英国、加拿大、比利时和西班牙等国家的其他组织的受害者数量则少得多。
在过去一年中,BlackSuit已造成103名受害者。自2024年11月以来,每月声称的攻击次数急剧下降。这种活动减少可能是该团伙为保持低调而采取的战略举措。攻击次数的减少也可能预示着该团伙即将迎来又一次沉寂,届时该团伙发展壮大,并以不同的名称重新命名。
BlackSuit的暗网数据泄露网站 BlackSuit的暗网数据泄露网站布局简洁,却足以满足勒索的目的。暗网网站上的帖子详细列出了被入侵的企业目标信息,并附上了最新动态和被盗数据的链接。在被查封之前,BlackSuit的暗网数据泄露网站上已有超过150篇目标相关的文章。
一些文章中还提供了所入侵目标的更多详细信息,例如公司联系人的LinkedIn页面以及被盗数据的目录列表。暗网网站上提供了一个联系页面,受害者可以通过该页面向BlackSuit请求支持,以恢复其系统和数据。请求支持的受害者必须在赎金通知中提供唯一的受害者ID或协商链接,该链接会与联系BlackSuit的说明一起包含在内。受害者还需要在请求中提供其电子邮件地址。
BlackSuit不像其他一些勒索软件团伙那样拥有社区论坛或Telegram和X等社交媒体页面。这体现了这样一种观点:谨慎运营是最大限度降低 OPSEC(运营安全)风险(例如泄露通信、代码、基础设施和员工名单)的最佳方式。
尽管BlackSuit的数据泄露网站看似简单,但其发送和接收高额赎金要求的举动,使其明显是一个拥有经验丰富的内部团队支持的威胁行为者。这种经验也帮助BlackSuit评估企业的收入,并将其作为结构化、选择性攻击受害者的流程的一部分。与许多其他勒索软件团伙相比,该团伙够在短时间内获取巨额财富。
BlackSuit被查封的暗网网址之一:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd[.]onion