Ransomware Blacksuit: Strafverfolger beschlagnahmen Erpresser-Website

Die Ransomware-Gang Blacksuit muss wohl vorerst auf Einnahmen aus Erpressungen verzichten: Eine Gruppe aus internationalen Strafverfolgern unter deutscher Beteiligung hat im Rahmen der „Operation Checkmate“ ihre Darknet-Infrastruktur lahmgelegt. „This Domain has been seized“, verkündet die von den Ermittlern platzierte Botschaft.

Blacksuit hieß früher einmal Royal und war unter diesem Namen schon seit 2022 aktiv. Im August 2024 erfolgte dann die Umbenennung – eine beliebte Strategie vor allem dann, wenn Ermittler den Gangstern allzu dicht an den Fersen kleben.

Wie viele andere Akteure bedient sich Blacksuit einer doppelten Erpressungsstrategie: Vor dem Verschlüsseln exfiltriert sie sensible Daten von Unternehmen und Organisationen, um diese dann mit der Veröffentlichung zu erpressen. Laut einer älteren Sicherheitswarnung der Cybersecurity and Infrastructure Security Agency (CISA) zu Blacksuit bewegen sich die typischen (Bitcoin-)Forderungen der Gruppe zwischen einer und zehn Millionen US-Dollar. Insgesamt habe die Gruppe (Stand August 2024) über 500 Millionen US-Dollar gefordert; mittlerweile dürften zahlreiche weitere Erpressungen hinzugekommen sein.

Sowohl die Veröffentlichung exfilitrierter Daten (und deren Androhung) als auch die Lösegeld-Verhandlungen selbst erfolgten über die nun beschlagnahmten Onion-Sites. Die Gruppe wird also erst einmal umbauen müssen. Zudem bleibt abzuwarten, ob nicht noch weitere Maßnahmen im Rahmen von „Operation Checkmate“ ihr Fortbestehen und ihre Operationen beeinträchtigen werden. Bislang ist über Haftbefehle, Hausdurchsuchungen oder gar Festnahmen nichts bekannt geworden.

Unkraut vergeht nicht: „Chaos“ im Kommen

Derweil berichtet Ciscos Talos Intelligence Group über verstärkte Aktivitäten einer noch recht neuen Ransomware namens Chaos.

Interessant ist, dass die Forscher technische Überschneidungen zwischen Blacksuit und Chaos beobachtet haben wollen. Ähnlichkeiten soll es im Hinblick auf verwendete Angriffs-Tools als auch auf den Verschlüsselungsvorgang sowie Inhalt und Struktur der Erpresserbotschaft geben. Es handele sich entweder um ein Rebranding von Blacksuit oder aber um ein Projekt unter Beteiligung ehemaliger Blacksuit-Akteure.

Den Analysen der Forscher zufolge ist Chaos seit Februar 2025 aktiv und folgt einem Ransomware-as-a-Service-Modell, in das sich ambitionierte Verbrecher ohne technische Vorkenntnisse einmieten können. Dabei dürften sie momentan allerdings auf ein kleines Hindernis stoßen: Die Domain der E-Mail-Adresse, die Chaos zur Kontaktaufnahme angibt, wurde gerade erst von Behörden lahmgelegt. Sie gehört nämlich ausgerechnet dem kürzlich verhafteten Admin des Untergrundforums XSS.

Chaos befällt sowohl Windows- als auch Linux-Systeme und kann zudem NAS und ESXi-Umgebungen gefährlich werden. Angriffe auf Ziele in Europa wurden indes noch nicht bekannt.

Operiert die Blacksuit-Gang nun unbehelligt unter dem Deckmantel ähnlichen Schadcodes weiter – oder haben womöglich einige (gut informierte) Ratten das „Schiff“ Blacksuit in Erwartung seines Untergangs vorsorglich verlassen? Darüber lässt sich vorerst nur spekulieren. Klar ist: Das Katz-und-Maus-Spiel zwischen Ermittlern und Cybergangstern geht in die nächste Runde.

(ovw)