Em uma ofensiva sem precedentes contra o cibercrime organizado, autoridades internacionais apreenderam os sites da dark web e os painéis de negociação do grupo de ransomware BlackSuit, em uma operação policial conjunta denominada Operação Xeque-mate.
Na última quarta-feira, 24 de julho, o site principal do grupo, acessado via rede TOR, passou a exibir um banner da Homeland Security Investigations (HSI) dos EUA, informando que o domínio foi apreendido como parte de uma investigação coordenada entre agências de segurança de nove países. O esforço global envolveu o Departamento de Justiça dos EUA (DoJ), Europol, Bitdefender e autoridades do Reino Unido, Ucrânia, Letônia, Alemanha, e outros.
Embora não haja prisões confirmadas até o momento, a ação representa um golpe estrutural significativo contra uma das organizações cibercriminosas mais ativas dos últimos dois anos.
BlackSuit: um legado que vem do Conti e do Royal
O BlackSuit surgiu em maio de 2023, mas suas raízes remontam ao notório grupo de ransomware Conti, dissolvido em 2022 após ataques de alto impacto, como o que atingiu o governo da Costa Rica.
Após a desarticulação do Conti, diversos operadores migraram para novas facções, incluindo o grupo Royal, responsável pelo ataque à cidade de Dallas em 2023. Em seguida, o Royal deu origem ao BlackSuit, adotando um novo criptografador e intensificando suas campanhas globais.
Diferente de grupos que operam sob o modelo de ransomware como serviço (RaaS), o BlackSuit parece agir de forma mais restrita e centralizada, com seus próprios membros executando os ataques. Até o momento, o grupo é associado a 184 vítimas conhecidas, segundo o Ransomware.live.
Atuação global e danos milionários
A lista de vítimas do BlackSuit inclui nomes de peso e serviços essenciais. Em abril de 2024, a gangue atacou a Octapharma Plasma, afetando mais de 160 centros de doação de sangue nos Estados Unidos.
Dois meses depois, em junho, o alvo foi a CDK Global, fornecedora de software para mais de 15 mil concessionárias de automóveis na América do Norte. O impacto foi severo: perdas estimadas em US$ 1 bilhão e paralisações prolongadas em concessionárias.
Além disso, o grupo foi associado a ataques contra a Western Municipal Construction, o governo brasileiro e até o zoológico ZooTampa. A estratégia principal da gangue envolve dupla extorsão: criptografar os dados da vítima e ameaçar vazá-los publicamente caso o pagamento não seja feito.
Segundo a CISA, os valores exigidos pelo grupo variam entre US$ 1 milhão e US$ 10 milhões por ataque, com um caso extremo chegando a US$ 60 milhões. Em dois anos, o grupo teria tentado extorquir mais de US$ 500 milhões em resgates.
A operação Xeque-mate e seus bastidores
A Operação Xeque-mate envolveu uma aliança tática entre forças policiais e entidades de cibersegurança. Entre os participantes estavam:
- Departamento de Justiça dos EUA
- Homeland Security Investigations (HSI)
- Serviço Secreto dos EUA
- Europol
- Bitdefender
- Polícia Nacional Holandesa
- Agência Nacional de Crimes do Reino Unido (NCA)
- Escritório Federal de Polícia Criminal da Alemanha (BKA)
- Polícia Cibernética da Ucrânia
- Ministério Público de Frankfurt
Embora os criminosos ainda não tenham sido presos, o desmantelamento da infraestrutura representa uma perda operacional significativa e pode interromper temporariamente a atividade do grupo.
Chaos: rebranding ou continuação?
Especialistas em inteligência cibernética alertam que a queda do BlackSuit pode não significar o fim de sua atuação. Relatórios recentes da Cisco Talos indicam que o grupo Chaos, que vem realizando ataques sofisticados desde o início de 2025, pode ser uma reformulação direta do BlackSuit.
Segundo a Cisco, a avaliação é feita com confiança moderada com base em:
- Semelhança nas técnicas e ferramentas utilizadas (TTPs)
- Estrutura quase idêntica da nota de resgate
- Utilização de ferramentas legítimas de acesso remoto (RMM)
- Padrões de criptografia herdados
Esse possível rebranding segue uma tática comum entre grupos cibercriminosos após desmantelamentos parciais: migração para nova identidade, novo domínio e, eventualmente, novo malware.
A importância estratégica para líderes de TI
Para CISOs e CIOs, o caso BlackSuit reforça uma mensagem crítica: a ameaça do ransomware continua evoluindo mesmo com ações policiais de grande escala. A queda de um grupo pode sinalizar alívio temporário, mas também abre espaço para a ascensão de novos operadores com as mesmas táticas, ou até mais sofisticadas.
É essencial que estratégias de defesa cibernética sejam atualizadas constantemente, com foco em:
- Monitoramento de comportamento anômalo
- Resposta rápida a incidentes
- Gestão de acessos e credenciais privilegiadas
- Backup resiliente e planos de continuidade
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!
