Le forze dell’ordine degli Stati Uniti hanno sequestrato oltre un milione di dollari in criptovalute al gruppo BlackSuit. Si tratta della somma pagata per un riscatto ai cybercriminali, quando il nome del gruppo era Royal. A fine agosto era stata smantellata l’infrastruttura usata per gli attacchi, ma le attività sono state interrotte per poche ore. È infatti già operativo il gruppo Chaos formato dagli stessi membri di BlackSuit.
Sequestri che non fermeranno i cybercriminali
Alla cosiddetta Operation Checkmate hanno partecipato le forze dell’ordine di Stati Uniti, Germania, Olanda, Regno Unito, Irlanda, Francia, Ucraina e Lituania. Il Dipartimento di Giustizia degli Stati Uniti scrive che sono stati messi offline quattro server e nove domini il 24 luglio 2025. Grazie alle prove raccolte dal Procuratore della Virginia, il Procuratore del District of Columbia ha sequestrato 1.091.453 dollari in criptovalute.
Questa somma è parte del riscatto di 49,3120227 Bitcoin (equivalenti a 1.445.454,86 dollari) pagato da una vittima il 4 aprile 2023 in cambio del tool per la decifrazione dei file. Le forze dell’ordine hanno individuato il wallet in cui erano state depositate le criptovalute e bloccato l’account dell’exchange.
Dal 2022 ad oggi, i cybercriminali del gruppo Royal e del successore BlackSuit hanno colpito oltre 450 aziende e organizzazioni che operano in svariati settori, tra cui sanità, energia e pubblica sicurezza. Grazie alla tattica della doppia estorsione hanno ricevuto oltre 370 milioni di dollari.
Secondo la CISA (Cybersecurity & Infrastructure Security Agency), un singolo riscatto poteva arrivare a 60 milioni di dollari. A fine luglio, l’FBI ha sequestrato circa 20 Bitcoin (valore attuale di oltre 2 milioni di dollari) ad uno dei membri del gruppo Chaos, noto come Hors.
Gli esperti del Draco Team di Bitdefender hanno fornito il supporto tecnico durante l’operazione. La software house rumena ha descritto in dettaglio le tecniche usate dai cybercriminali per accedere ai sistemi aziendali, mantenere la persistenza e installare il ransomware.
