稍早前,“暗网下/AWX”曾报道,暗网勒索软件团伙BlackSuit的暗网网站在国际联合执法行动中被查封,这次名为“Operation Checkmate”的执法行动是由美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构联合开展的,并得到了网络安全公司Bitdefender的支持。
昨天,美国司法部透露,他们除了捣毁了BlackSuit勒索软件团伙的服务器、域名和暗网勒索网站,还缴获了价值超过一百万美元的加密货币。此举挫败了该勒索软件团伙从美国公司勒索超过3.7亿美元的计划,标志着网络犯罪分子逍遥法外的局面正在逐渐消退。
根据美国司法部2025年8月12日的新闻稿,美国司法部宣布查获了与臭名昭著的BlackSuit勒索软件团伙相关的超过100万美元的加密货币,对网络犯罪网络进行了一次重大打击。此次行动是更广泛的国际行动的一部分,旨在摧毁该勒索软件团伙用于在美国关键行业勒索受害者的关键基础设施。世界各地的执法机构(包括美国、英国、加拿大、德国、爱尔兰和法国)于7月24日联合行动,缴获的资产包括价值1,091,453美元的数字资产、四台服务器和九个域名,有效削弱了该勒索软件团伙的运营和洗钱能力。
BlackSuit勒索软件团伙勒索了超过5亿美元的赎金 根据“暗网下/AWX”所解释的那样,BlackSuit犯罪组织于2023年5月首次出现,与对美国医疗保健发起攻击的Royal勒索软件团伙有着密切的联系,而Royal团伙就是臭名昭著的俄罗斯Conti勒索软件团伙的另辟的分支。仅在美国,BlackSuit勒索软件团伙就攻击了450多名已知受害者,这些受害者来自政府部门、公共安全、医疗保健、制造业、建筑业、能源、教育等领域。
去年, CISA和FBI联合发布警告称,BlackSuit勒索软件团伙在不到两年的时间内向受害者勒索了超过5亿美元的赎金,该团伙对入侵的系统进行加密,并威胁称若不付款,就会将文件发布到暗网上。BlackSuit勒索软件攻击通常要求受害者支付约一百万至一千万美元的赎金,并以比特币支付。已知最大的一笔个人赎金要求高达令人咋舌的6000万美元。
多国联手共同参与了此次打击勒索软件的行动 此次行动被称为“Checkmate行动”,由美国联邦调查局(FBI)、国土安全调查局(HSI)、美国特勤局(US Secret Service)、美国国税局(IRS)刑事调查局以及来自英国、德国、爱尔兰、法国、加拿大、乌克兰和立陶宛的国际合作伙伴共同参与。2025年7月24日,当局实施了此次行动,查封了托管勒索网站和通讯渠道的服务器。此举不仅阻止了正在进行的攻击,还阻止了该团伙迅速重建。
业内人士指出,BlackSuit 的模式严重依赖关联方——即部署勒索软件以赚取一定利润的独立黑客。通过扣押加密货币收益(通常以比特币支付),执法部门打破了这种经济诱因。根据Cybernews分析报告,该组织的全部勒索行为估计已从 450 多家美国公司勒索了超过 3.7 亿美元。
区块链取证在追踪非法资金中发挥关键作用 此次缉获行动的一个关键要素是使用了先进的区块链追踪工具,使调查人员能够通过复杂的数字钱包追踪赎金的流向。美国司法部在新闻稿中分享了如何查获勒索软件受害者勒索的价值1,091,453美元的加密货币的一些细节。
报告解释称,2023年4月4日左右,一名受害者的数据遭到勒索软件攻击加密,并支付了49.3120227比特币(BTC)。交易时,这些比特币价值1,445,454.86美元。美国司法部称,这笔款项的一部分(1,091,453美元)被反复存入和提取到一个加密货币交易所账户,直到2024年1月该交易所冻结了这笔资金。
对于受害者来说,对勒索软件的查封只解决了第一步,但全面获得赔偿仍然任重道远充满挑战。而Bitdefender的专家也补充称,虽然查封勒索软件会切断直接的收入来源,但勒索软件团伙往往会以新的名字重新出现,因此需要持续保持警惕。
近期,作为一项国际执法行动的一部分,暗网勒索软件团伙BlackSuit的暗网网站已被查封。此次查封行动包括BlackSuit的谈判网站和数据泄露网站,这是根据法院授权的查封命令进行的。
目前两个暗网网站已被横幅广告取代,告知访问者美国国土安全调查局(U.S. Homeland Security Investigations)在“CheckMate行动”中查封了这些网站。此次执法行动的名称为“Operation Checkmate”,得到了多个执法合作伙伴的协助,包括美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构。罗马尼亚网络安全公司BitDefender也参与了此次行动。目前,当局尚未就此次行动及相关进展发布官方声明。
BitDefender称其专业的Draco团队自2023年5月BlackSuit出现以来,一直在研究这款勒索软件,为执法机构提供专业协助。这项工作是BitDefender与全球合作伙伴携手打击网络犯罪的持续承诺的一部分。Bitdefender已公开分享数十款免费的勒索软件解密工具,为全球企业节省了约16亿美元的赎金。
勒索软件团伙BlackSuit于2023年6月首次出现,以使用双重勒索手段和收取高额赎金而闻名,其中一些目标支付的赎金超过200万美元。过去一年,网络防御和情报团队对该组织进行了密切关注,力求了解其起源、运营和能力。
在对得克萨斯州达拉斯市发动勒索攻击后,BlackSuit团伙对品牌进行了重新定位。在此之前,该勒索软件团伙曾以“Royal”为名进行运营,时间跨度是从2022年9月至2023年6月,“Royal”最初于2022年底被确认为“Zeon”的一个分支。而在“Royal”之前,该团伙曾以“Quantum”为名运营,而“Quantum”据称是由Conti勒索软件团伙的成员创立。以“BlackSuit”为名运营期间,该勒索软件团伙在全球范围内声称攻击了超过185个目标,而在“Royal”时期则声称攻击了超过350个目标。
2022年秋,有报道开始将BlackSuit(当时以Royal的名义运营)背后的人员与Conti联系起来。Conti是一个知名勒索软件团伙,在经历了一年动荡的泄密和内部冲突后解散。Conti与BlackSuit(原Royal)之间的联系也引发了人们对BlackSuit行动地点的猜测,暗示其行动基地位于俄罗斯或乌克兰等地区。
尽管此次执法打击行动是个好消息,但研究人员指出,BlackSuit可能已更名,或其部分前成员已组建了一个新的名为“Chaos”的勒索软件团伙。思科Talos的研究人员在2025年6月24日的一篇博客文章中解释称,由于加密方法、勒索说明和攻击中使用的工具集与BlackSuit相似,他们有一定把握地认为该新团伙是由BlackSuit勒索软件团伙的成员组建的。目前,Chaos已经发动了至少十次勒索攻击,主要针对美国,该新勒索软件团伙似乎并未针对任何特定行业。
“BlackSuit基础设施的破坏标志着我们打击有组织网络犯罪的又一个重要里程碑,”参与此次行动的Bitdefender网络犯罪研究部门Draco Team的一位代表表示。“我们赞扬执法合作伙伴的协调和决心。此类行动强化了公私合作在追踪、揭露并最终瓦解暗中运作的勒索软件团体方面的关键作用。当全球专业执法力量齐心协力时,网络犯罪分子将无处遁形。”
2025年7月28日,美国联邦调查局达拉斯办事处宣布,从属于Chaos勒索软件集团成员的加密货币地址中查获了20枚比特币(目前价值约230万美元)。这些资金被追踪到一个名为“Hors”的关联方使用的比特币钱包,该关联方涉嫌对得克萨斯州北部地区及其他地区的公司发动攻击并勒索付款。美国司法部于2025年7月24日在得克萨斯州北部地区法院提起民事诉讼,寻求没收该笔资金,该资金于今年4月中旬被达拉斯联邦调查局查获。
BlackSuit的受害者 BlackSuit的主要目标行业是制造业、教育、研究、医疗保健和建筑行业等。制造业和医疗保健行业仍然是利润丰厚的目标,因为与政府和咨询业等其他行业相比,这些行业的预期利润和收入范围可能更广。BlackSuit攻击利润和预期收入更高的企业的策略,在识别零售业的潜在受害者时也同样适用。
BlackSuit的大多数受害者都是位于美国的组织,而英国、加拿大、比利时和西班牙等国家的其他组织的受害者数量则少得多。
在过去一年中,BlackSuit已造成103名受害者。自2024年11月以来,每月声称的攻击次数急剧下降。这种活动减少可能是该团伙为保持低调而采取的战略举措。攻击次数的减少也可能预示着该团伙即将迎来又一次沉寂,届时该团伙发展壮大,并以不同的名称重新命名。
BlackSuit的暗网数据泄露网站 BlackSuit的暗网数据泄露网站布局简洁,却足以满足勒索的目的。暗网网站上的帖子详细列出了被入侵的企业目标信息,并附上了最新动态和被盗数据的链接。在被查封之前,BlackSuit的暗网数据泄露网站上已有超过150篇目标相关的文章。
一些文章中还提供了所入侵目标的更多详细信息,例如公司联系人的LinkedIn页面以及被盗数据的目录列表。暗网网站上提供了一个联系页面,受害者可以通过该页面向BlackSuit请求支持,以恢复其系统和数据。请求支持的受害者必须在赎金通知中提供唯一的受害者ID或协商链接,该链接会与联系BlackSuit的说明一起包含在内。受害者还需要在请求中提供其电子邮件地址。
BlackSuit不像其他一些勒索软件团伙那样拥有社区论坛或Telegram和X等社交媒体页面。这体现了这样一种观点:谨慎运营是最大限度降低 OPSEC(运营安全)风险(例如泄露通信、代码、基础设施和员工名单)的最佳方式。
尽管BlackSuit的数据泄露网站看似简单,但其发送和接收高额赎金要求的举动,使其明显是一个拥有经验丰富的内部团队支持的威胁行为者。这种经验也帮助BlackSuit评估企业的收入,并将其作为结构化、选择性攻击受害者的流程的一部分。与许多其他勒索软件团伙相比,该团伙够在短时间内获取巨额财富。
BlackSuit被查封的暗网网址之一:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd[.]onion