Operazione Checkmate: smantellata la rete ransomware BlackSuit. Ma i criminali sono già operativi con il nome di Chaos

Le forze di polizia statunitensi e internazionali hanno sequestrato i siti sul dark web di BlackSuit, una delle principali organizzazioni ransomware attive negli ultimi anni. Il Dipartimento di Giustizia USA ha confermato l’intervento nel corso della giornata del 24 luglio 2025, dopo che i domini .onion del gruppo sono stati rimpiazzati dall'avviso: “Questo sito è stato sequestrato dalla Homeland Security Investigations nell’ambito di un’indagine internazionale coordinata”. Il blitz, coordinato sotto il nome in codice Operation Checkmate, ha messo fuori uso i blog di fuga di dati e le piattaforme per le negoziazioni usati da BlackSuit per estorcere i riscatti alle vittime.

L’operazione, com'è ormai d'abitudine, ha visto la collaborazione delle forze dell’ordine di diversi Paesi: oltre alla Homeland Security, hanno partecipato il Secret Service, la polizia nazionale olandese e tedesca, la National Crime Agency del Regno Unito, la Procura di Francoforte, l’Ufficio della Giustizia USA, la Cyber Police ucraina, Europol e altri organismi di sicurezza europei. Anche la società di sicurezza rumena Bitdefender ha fornito supporto all’operazione, sebbene al momento non siano stati diffusi ulteriori dettagli dal team coinvolto.

Una storia complessa, da Quantum a Black Suit, passando per Royal

La storia di BlackSuit è fatta di trasformazioni e cambi d’identità per sfuggire ai controlli delle forze dell’ordine. Emersa inizialmente come Quantum ransomware nel gennaio 2022, è considerata oggi l’erede diretta della famigerata operazione ransomware Conti. Nei primi tempi, il gruppo ha adottato encryptor di altri attori noti (come ALPHV/BlackCat), migrando presto sul proprio encryptor Zeon e cambiando denominazione in Royal ransomware nel settembre dello stesso anno. Dopo il colpo al sistema informatico della città di Dallas, Texas (giugno 2023), Royal ha ricominciato a operare sotto il nome BlackSuit, in parallelo allo sviluppo e ai test del nuovo encryptor omonimo.

Nel novembre 2023 le prime conferme ufficiali dai report congiunti di CISA e FBI: Royal e BlackSuit hanno strategie e strumenti quasi sovrapponibili, con evidenti punti di contatto nel codice degli encryptor. I dati raccolti in questa fase parlano di oltre 350 organizzazioni colpite e richieste di riscatto globali che superano i 275 milioni di dollari. Proprio nell’agosto 2024, le agenzie federali hanno pubblicato una nuova nota: BlackSuit è la naturale evoluzione di Royal, e in soli due anni avrebbe chiesto riscatti per oltre 500 milioni di dollari alle sue vittime.

La portata degli attacchi: settori colpiti e tattiche evolute

Il gruppo BlackSuit si è distinto per attacchi rapidi e sofisticati, con tattiche che includono compromissione iniziale tramite tecniche di phishing o distributed access, esfiltrazione e cifratura selettiva dei dati, cancellazione di backup per rendere impossibile il recupero e infine la richiesta di riscatto alle vittime tramite le proprie piattaforme dark web. Particolarmente colpiti settori critici come sanità, infrastrutture pubbliche e manifatturiere: l’attacco a una importante organizzazione per la raccolta di plasma ha portato alla chiusura temporanea di quasi 200 centri negli Stati Uniti.

Le contromisure suggerite da agenzie e aziende di sicurezza includono la priorità nell’aggiornamento dei sistemi, formazione dei dipendenti sul phishing, implementazione robusta dell’autenticazione a più fattori e una verifica costante delle vulnerabilità attivamente sfruttate; misure ormai indispensabili per mitigare minacce che si evolvono rapidamente come quella posta da BlackSuit.

Il team di ricerca Cisco Talos ha rilevato, poco dopo il sequestro dei domini appartenenti a BlackSuit, che dallo scorso mese di febbraio il gruppo hacker ha già riorganizzato le proprie operazioni sotto il nome di Chaos ransomware. I ricercatori hanno osservato notevoli somiglianze nei comandi di cifratura, nella struttura delle richieste di riscatto e nell’uso di LOLbins e strumenti di accesso remoto durante gli attacchi, rafforzando la convinzione che Chaos sia solo la nuova facciata di BlackSuit.