Международная правоохранительная операция «Шах и мат», проведенная 24 июля 2025 года, привела к захвату даркнет-инфраструктуры группировки вымогателей BlackSuit. В операции приняли участие Федеральное бюро расследований (ФБР), Министерство юстиции США (DoJ), Следственное управление Министерства внутренней безопасности США и Земельное управление уголовной полиции Германии (LKA), которое официально подтвердило факт захвата 1 августа 2025 года. Посетителей сайтов BlackSuit теперь встречает уведомление: «Этот сайт был захвачен Следственным управлением Министерства внутренней безопасности США в рамках скоординированного международного расследования». Экспертную помощь в операции оказала румынская компания по кибербезопасности Bitdefender, в частности ее подразделение по борьбе с киберпреступностью Draco Team.
Практически сразу после ликвидации BlackSuit, в феврале 2025 года, на сцене появилась новая группа вымогателей Chaos, действующая по модели «программа-вымогатель как услуга» (RaaS). Считается, что Chaos состоит из бывших участников BlackSuit, что подтверждает гипотезу о продолжении деятельности под новым брендом. Группировка специализируется на «охоте на крупную дичь», атакуя преимущественно большие организации в США. Chaos применяет тактику двойного вымогательства, требуя выкуп в размере $300 000 за расшифровщик и предоставление «детального обзора проникновения с основной цепочкой атаки и рекомендациями по безопасности».
Связь между Chaos и BlackSuit подтверждается сходством в методах работы, включая идентичные команды шифрования, общую структуру и тему записок с требованием выкупа, а также использование одинаковых инструментов удаленного мониторинга и управления (RMM). Этот ребрендинг является продолжением цепочки трансформаций: Conti → Royal → BlackSuit → Chaos. Следует отметить, что нынешний Chaos не имеет отношения к старым одноименным конструкторам вредоносных программ, таким как Yashma и Lucky_Gh0$t; название, вероятно, используется для создания путаницы.
Техническая цепочка атак Chaos начинается с комбинации фишинга и голосового фишинга (вишинга), с помощью которых злоумышленники убеждают жертв установить программное обеспечение для удаленного доступа, в частности Microsoft Quick Assist. После получения первоначального доступа группа похищает учетные данные, удаляет журналы событий PowerShell и отключает защитные решения для уклонения от обнаружения. Для горизонтального перемещения по сети и последующей кражи данных используется инструмент GoodSync.
Сам вымогатель Chaos обладает кроссплатформенной функциональностью, работая в системах Windows, ESXi, Linux и на сетевых хранилищах (NAS). Для ускорения процесса он использует многопоточное выборочное шифрование как локальных, так и сетевых ресурсов. Вредоносная программа также оснащена многоуровневыми техниками защиты от анализа, затрудняющими ее обнаружение отладчиками, в виртуальных машинах и автоматизированных «песочницах».
Несмотря на успешный ребрендинг, группировка понесла финансовые потери. Правоохранительным органам удалось арестовать кошелек, принадлежащий участнику Chaos под псевдонимом Hors, на котором находилось 20,2891382 BTC, что эквивалентно более чем $2,4 млн. Конфискованные в ходе операции «Шах и мат» данные продолжают анализироваться с целью идентификации остальных участников преступной группы.
Согласно данным NCC Group, во втором квартале 2025 года количество атак программ-вымогателей сократилось на 43% — с 2074 инцидентов в первом квартале до 1180. Однако, по словам Мэтта Халла, руководителя отдела глобальной разведки угроз в NCC Group, это снижение не означает уменьшения угрозы. Он считает, что киберпреступные группы используют это время для ребрендинга и развития своих тактик. В 2025 году на рынке активно действуют около 86 новых и существующих группировок.
Помимо Chaos, в 2025 году появились и другие штаммы вымогателей, включая Backups, Bert, BlackFL, BQTLOCK, Dark 101, Jackalock, Moscovium, RedFox и Sinobi. Одной из заметных новых угроз стал вымогатель Gunra, который, по оценкам, основан на коде печально известного Conti. С конца апреля 2025 года Gunra атаковал 13 организаций. По данным компании CYFIRMA, его версия для Windows использует передовые методы уклонения и обфускации.
Исследователи из Trend Micro Джеффри Фрэнсис Бонаобра, Мелвин Сингва и Эммануэль Панопио проанализировали Linux-версию Gunra. Она демонстрирует кроссплатформенные амбиции, используя до 100 потоков для частичного шифрования файлов с целью максимальной скорости. Примечательно, что эта версия не оставляет записку с требованием выкупа и может хранить ключи, зашифрованные по алгоритму RSA, в отдельных файлах-хранилищах.
Среди других техник, замеченных в последнее время, — распространение вымогателя NailaoLocker с использованием метода DLL side-loading. Также вновь активизировался вымогатель Epsilon Red, впервые обнаруженный в 2021 году. Он распространяется через вредоносные HTA-файлы, замаскированные под проверку CAPTCHA. Аналитики из CloudSEK отмечают, что его записка с требованием выкупа по структуре напоминает ту, что использовала группировка REvil.
Изображение носит иллюстративный характер
Практически сразу после ликвидации BlackSuit, в феврале 2025 года, на сцене появилась новая группа вымогателей Chaos, действующая по модели «программа-вымогатель как услуга» (RaaS). Считается, что Chaos состоит из бывших участников BlackSuit, что подтверждает гипотезу о продолжении деятельности под новым брендом. Группировка специализируется на «охоте на крупную дичь», атакуя преимущественно большие организации в США. Chaos применяет тактику двойного вымогательства, требуя выкуп в размере $300 000 за расшифровщик и предоставление «детального обзора проникновения с основной цепочкой атаки и рекомендациями по безопасности».
Связь между Chaos и BlackSuit подтверждается сходством в методах работы, включая идентичные команды шифрования, общую структуру и тему записок с требованием выкупа, а также использование одинаковых инструментов удаленного мониторинга и управления (RMM). Этот ребрендинг является продолжением цепочки трансформаций: Conti → Royal → BlackSuit → Chaos. Следует отметить, что нынешний Chaos не имеет отношения к старым одноименным конструкторам вредоносных программ, таким как Yashma и Lucky_Gh0$t; название, вероятно, используется для создания путаницы.
Техническая цепочка атак Chaos начинается с комбинации фишинга и голосового фишинга (вишинга), с помощью которых злоумышленники убеждают жертв установить программное обеспечение для удаленного доступа, в частности Microsoft Quick Assist. После получения первоначального доступа группа похищает учетные данные, удаляет журналы событий PowerShell и отключает защитные решения для уклонения от обнаружения. Для горизонтального перемещения по сети и последующей кражи данных используется инструмент GoodSync.
Сам вымогатель Chaos обладает кроссплатформенной функциональностью, работая в системах Windows, ESXi, Linux и на сетевых хранилищах (NAS). Для ускорения процесса он использует многопоточное выборочное шифрование как локальных, так и сетевых ресурсов. Вредоносная программа также оснащена многоуровневыми техниками защиты от анализа, затрудняющими ее обнаружение отладчиками, в виртуальных машинах и автоматизированных «песочницах».
Несмотря на успешный ребрендинг, группировка понесла финансовые потери. Правоохранительным органам удалось арестовать кошелек, принадлежащий участнику Chaos под псевдонимом Hors, на котором находилось 20,2891382 BTC, что эквивалентно более чем $2,4 млн. Конфискованные в ходе операции «Шах и мат» данные продолжают анализироваться с целью идентификации остальных участников преступной группы.
Согласно данным NCC Group, во втором квартале 2025 года количество атак программ-вымогателей сократилось на 43% — с 2074 инцидентов в первом квартале до 1180. Однако, по словам Мэтта Халла, руководителя отдела глобальной разведки угроз в NCC Group, это снижение не означает уменьшения угрозы. Он считает, что киберпреступные группы используют это время для ребрендинга и развития своих тактик. В 2025 году на рынке активно действуют около 86 новых и существующих группировок.
Помимо Chaos, в 2025 году появились и другие штаммы вымогателей, включая Backups, Bert, BlackFL, BQTLOCK, Dark 101, Jackalock, Moscovium, RedFox и Sinobi. Одной из заметных новых угроз стал вымогатель Gunra, который, по оценкам, основан на коде печально известного Conti. С конца апреля 2025 года Gunra атаковал 13 организаций. По данным компании CYFIRMA, его версия для Windows использует передовые методы уклонения и обфускации.
Исследователи из Trend Micro Джеффри Фрэнсис Бонаобра, Мелвин Сингва и Эммануэль Панопио проанализировали Linux-версию Gunra. Она демонстрирует кроссплатформенные амбиции, используя до 100 потоков для частичного шифрования файлов с целью максимальной скорости. Примечательно, что эта версия не оставляет записку с требованием выкупа и может хранить ключи, зашифрованные по алгоритму RSA, в отдельных файлах-хранилищах.
Среди других техник, замеченных в последнее время, — распространение вымогателя NailaoLocker с использованием метода DLL side-loading. Также вновь активизировался вымогатель Epsilon Red, впервые обнаруженный в 2021 году. Он распространяется через вредоносные HTA-файлы, замаскированные под проверку CAPTCHA. Аналитики из CloudSEK отмечают, что его записка с требованием выкупа по структуре напоминает ту, что использовала группировка REvil.
