O Departamento de Justiça dos Estados Unidos, em parceria com agências de segurança de vários países, executou um golpe direto contra o BlackSuit, grupo de ransomware anteriormente conhecido como Royal. A operação derrubou quatro servidores de comando e controle (C2) e nove domínios usados para lançar ataques, extorquir vítimas e lavar dinheiro via serviços de mistura de criptomoedas.
Esse movimento foi liderado pelo Department of Homeland Security Investigations (HSI), com participação do Serviço Secreto, da divisão criminal do IRS, do FBI e de parceiros no Reino Unido, Alemanha, Irlanda, França, Canadá, Ucrânia e Lituânia. O foco: desmontar a infraestrutura que sustentava a distribuição de cargas maliciosas, a exfiltração de dados e os ataques coordenados contra setores vitais.
Golpe coordenado na espinha dorsal do grupo
Segundo o mandado federal aberto após a ação, também foram confiscados US$ 1.091.453 em criptomoedas, rastreadas por análise de blockchain como parte dos lucros obtidos com os ataques. O dinheiro foi bloqueado após investigação conduzida no Distrito Leste da Virgínia e executada pelo Distrito de Columbia em junho de 2024.
O BlackSuit mantinha como alvos preferenciais setores de manufatura crítica, instalações governamentais, saúde pública e infraestrutura comercial nos EUA. Ao explorar brechas como CVE-2021-44228 (Log4Shell), realizar campanhas de phishing e explorar RDP vulnerável, o grupo comprometia redes, movia-se lateralmente e extraía dados antes da criptografia final tática clássica de dupla extorsão.
O Procurador Erik S. Siebert destacou a estratégia de “disrupção primeiro”, que prioriza derrubar a infraestrutura criminosa antes mesmo de responder a incidentes individuais, reduzindo a capacidade operacional dos invasores.
Táticas, ferramentas e procedimentos expostos
O aviso conjunto do FBI e da Cybersecurity & Infrastructure Security Agency (CISA) revelou as TTPs usadas pelo grupo:
- Uso de Cobalt Strike para executar comandos e manter acesso.
- Coleta de credenciais com Mimikatz.
- Persistência por meio de tarefas agendadas e alterações no registro do sistema.
Os IOCs divulgados incluem IPs maliciosos, hashes de binários e regras YARA para detecção. As recomendações passam por segmentação de rede, autenticação multifator (MFA) e aplicação rápida de patches.
Um caso emblemático citado no relatório envolve o pagamento de 49.3120227 BTC (cerca de US$ 1,44 milhão na época) em abril de 2023, valor que circulou por diversas carteiras e exchanges até ser congelado em janeiro de 2024.
Golpe no alcance do BlackSuit
De acordo com o HSI, a ação não se limitou aos servidores. Ela atingiu também os canais financeiros do grupo, bloqueando rotas de lavagem que usavam tumblers e exchanges descentralizadas. O Serviço Secreto destacou que isso afeta diretamente a capacidade do BlackSuit de lançar novos ataques, enquanto o IRS ressaltou que seguir o dinheiro continua sendo uma das armas mais eficazes contra o cibercrime.
O caso ainda está em andamento, com promotores dos EUA e autoridades de países como Reino Unido e Ucrânia trabalhando juntos. Essa ofensiva multinacional é um exemplo de como operações inteligência-orientadas e parcerias público-privadas podem reduzir a superfície de ataque e dificultar o lucro de afiliados do modelo ransomware-as-a-service (RaaS).
Com o avanço de códigos polimórficos e exploração de zero-days, ações como essa mostram que a guerra contra o ransomware não se vence apenas com defesa mas com ataques estratégicos à infraestrutura do inimigo.
