گروه بینالمللی مجرمان سایبری باجافزار Blacksuit که بهعنوان یکی از فعالترین تهدیدات در فضای دیجیتال شناخته میشد، اخیراً با ضربهای جدی مواجه شده است. در قالب عملیاتی هماهنگ به نام Operation Checkmate و با حضور نیروهای پلیسی از کشورهای مختلف از جمله آلمان، زیرساختهای این گروه در دارکوب از دسترس خارج شدند. پیام “This Domain has been seized” که اکنون در صفحات مربوط به این گروه نمایش داده میشود، نشاندهنده توقیف رسمی دامنههای آنان توسط مراجع قضایی است.
Blacksuit؛ از Royal تا تغییر نام
Blacksuit در واقع ادامه فعالیت گروهی به نام Royal است که از سال ۲۰۲۲ در عرصه حملات سایبری فعالیت داشته است. در اوت ۲۰۲۴، با تغییر نام از Royal به Blacksuit، این گروه سعی داشت با نام جدید، مسیر فعالیت خود را از پیگیری نهادهای امنیتی منحرف کند. این تغییر نامها در دنیای مجرمان سایبری رایج است و اغلب زمانی اتفاق میافتد که یک گروه تحت نظارت جدی قرار میگیرد.
Blacksuit بهطور معمول ابتدا اطلاعات حساس شرکتها و سازمانها را استخراج کرده و سپس با رمزگذاری فایلها، اقدام به اخلال در عملیات قربانی میکند. هدف نهایی این اقدامات، وادار کردن سازمانها به همکاری و پرداخت ارز دیجیتال از طریق کانالهایی است که حالا توسط نهادهای امنیتی مسدود شدهاند.
بر اساس اطلاعات منتشرشده از سوی آژانس امنیت سایبری و زیرساخت آمریکا (CISA)، تخمین زده میشود که این گروه تا آگوست ۲۰۲۴ مجموعاً بیش از ۵۰۰ میلیون دلار دارایی دیجیتال از اهداف مختلف مطالبه کرده باشد.
تعطیلی سایتهای Onion و تأثیر آن بر عملیات گروه
در جریان عملیات Checkmate، دامنههای اصلی گروه که در شبکه Tor برای ارتباط با اهداف و انتشار فایلهای سرقتشده مورد استفاده قرار میگرفتند، مسدود شدند. این وبسایتها نقش حیاتی در استراتژیهای فنی و عملیاتی این گروه داشتند و با حذف آنها، مسیر ارتباطی اصلی آنها قطع شده است.
این اقدام میتواند باعث ایجاد اختلال قابلتوجه در ادامه فعالیتهای Blacksuit شود، بهویژه اگر پیگیریها به شناسایی هویت اعضای اصلی یا رهگیری جریانهای مالی مرتبط منجر شود. با این حال، تا زمان نگارش این گزارش، خبری از دستگیری، بازرسی منزل یا صدور حکم قضایی علیه اعضای این گروه منتشر نشده است.
ظهور Chaos؛ تهدیدی تازه با ریشههای آشنا
در حالی که Blacksuit با فشارهای جدید مواجه شده، یک تهدید سایبری تازه با نام Chaos توجه تحلیلگران را به خود جلب کرده است. طبق گزارش مرکز اطلاعات امنیتی Talos وابسته به شرکت Cisco، این باجافزار از فوریه ۲۰۲۵ فعال شده و از مدل باجافزار بهعنوان سرویس (RaaS) بهره میبرد. این مدل به افراد بدون دانش تخصصی اجازه میدهد از طریق اجاره یا خرید ابزار، در حملات سایبری شرکت کنند.
تحلیلگران معتقدند Chaos از نظر ساختاری شباهتهایی به Blacksuit دارد. این شباهتها در ابزارهای استفادهشده، فرآیند رمزگذاری، و حتی قالب پیامهایی که به اهداف نمایش داده میشوند، دیده میشود. این شباهتها باعث شده برخی کارشناسان احتمال دهند که Chaos یا نسخهای تازه از Blacksuit است یا توسط اعضای سابق آن مدیریت میشود.
چالشهای Chaos در آغاز فعالیت
جالب اینجاست که Chaos نیز در آغاز راه خود با مانع مهمی روبهرو شده است. دامنهای که این گروه برای برقراری تماس با اهداف استفاده میکرد، اخیراً توسط مراجع امنیتی توقیف شده است. این دامنه متعلق به مدیر یکی از فرومهای شناختهشدهی زیرزمینی به نام XSS بوده که بهتازگی دستگیر شده است. این موضوع میتواند فرآیند توسعه Chaos را در مراحل اولیه دچار اختلال کند، هرچند معمولاً چنین گروههایی با سرعت زیرساختهای جدید راهاندازی میکنند.
این باجافزار قابلیت آلودهسازی سیستمعاملهای ویندوز، لینوکس، NAS و ESXi را دارد. با وجود گسترش فعالیت آن، تاکنون گزارشی از حمله موفق به اهداف اروپایی در دسترس نیست.
آینده Blacksuit؛ فروپاشی یا بازسازی زیرزمینی؟
هرچند Blacksuit در حال حاضر به دلیل از دست رفتن زیرساختهای ارتباطی دچار وقفه شده، اما نمیتوان گفت که این گروه به پایان کار خود رسیده است. بسیاری از گروههای فعال در فضای دارکوب سابقه بازسازی ساختار عملیاتی و بازگشت مجدد را دارند. همچنین، برخی کارشناسان احتمال میدهند که اعضای آگاه این گروه پیش از آغاز عملیات Checkmate آن را ترک کرده باشند و اکنون در پروژهای جدید مانند Chaos فعالیت کنند.
عملیات موفقیتآمیز Checkmate توانست یکی از گروههای شناختهشده در حوزه باجافزار را با مشکل جدی مواجه کند. اما تجربه نشان داده است که تهدیدهای سایبری هرگز بهطور کامل متوقف نمیشوند. ظهور باجافزارهایی مانند Chaos نشان میدهد که مجرمان سایبری به سرعت در حال انطباق با شرایط جدید هستند. همکاری بینالمللی، هوشیاری سازمانها و بهروزرسانی مداوم زیرساختهای امنیتی، کلید مقابله با چنین تهدیدهایی است. این نبرد هنوز ادامه دارد.