في خطوة أمنية ضخمة، تمت مصادرة المواقع الإلكترونية التابعة لمجموعة BlackSuit المعروفة بهجماتها باستخدام برمجيات الفدية، وذلك في إطار عملية دولية منسقة أُطلق عليها اسم “كش ملك” (Operation Checkmate). واعتُبر ذلك أحد أبرز التحركات القانونية ضد شبكات الجرائم السيبرانية خلال عام 2025.
في الرابع والعشرين من يوليو، ظهرت رسالة مصادرة رسمية على الموقع الرئيس لمجموعة BlackSuit، والذي كان يُدار عبر شبكة The Onion Router (TOR). وجاء في الرسالة: “تمت مصادرة هذا الموقع من قبل إدارة الأمن الداخلي الأميركية كجزء من تحقيق دولي منسق في إنفاذ القانون.”
العملية لم تشمل فقط وزارة العدل الأميركية، بل تعاون فيها 16 جهازاً أمنياً من تسع دول، من بينها الولايات المتحدة، والمملكة المتحدة، وأوكرانيا، ولاتفيا، إضافة إلى الوكالة الأوروبية للشرطة (Europol) وشركة Bitdefender المتخصصة في الأمن السيبراني، ومقرها في رومانيا والولايات المتحدة.
من Conti إلى BlackSuit مروراً بـ Royal… خيوط الانبعاث المستمر
تعود جذور مجموعة BlackSuit إلى مجموعة Royal التي ظهرت بعد تفكك مجموعة Conti الشهيرة، والتي كانت ناشطة بين ديسمبر 2019 ويونيو 2022. وقد اشتهرت Conti بهجماتها الشرسة، منها الهجوم الشهير على حكومة كوستاريكا في عام 2022.
في أعقاب تفكك Conti، انقسم أعضاؤها إلى جماعات عدة، أبرزها Royal التي نفذت هجوماً كبيراً على مدينة دالاس الأميركية في مايو 2023، ما أسفر عن تعطيل خدمات بلدية واختراق أكثر من تيرابايت من البيانات. في الشهر ذاته، بدأت Royal باستخدام برمجية تشفير جديدة باسم BlackSuit، لتتحول لاحقاً إلى كيان مستقل يحمل الاسم ذاته.
لا تعمل BlackSuit وفق نموذج البرمجيات كخدمة (RaaS)، بل تحتفظ بأدواتها داخلياً وتُنفّذ هجماتها بشكل مباشر، ما يعزز فرضية أنها كيان مغلق ونشط بشكل مستقل.
عمليات اختراق بملايين الدولارات… وخسائر بمليارات
منذ ظهورها في مايو 2023، نسبت إلى BlackSuit 184 عملية اختراق وفقاً لمنصة Ransomware.live. من أبرز هجماتها:
في أبريل 2024، استهدفت BlackSuit شركة Octapharma Plasma، ما أدى إلى تعطيل عمل أكثر من 160 مركزاً لتبرع البلازما في الولايات المتحدة.
في يونيو 2024، ضربت المجموعة شركة CDK Global، التي تزود نحو 15 ألف وكالة سيارات أميركية بكافة برامج التشغيل، محدثة خسائر تُقدّر بمليار دولار.
كما ارتبط اسمها بهجمات على ZooTampa، والحكومة البرازيلية، وشركة Western Municipal Construction.
تستخدم BlackSuit أساليب متطورة مثل التشفير المزدوج، والابتزاز بنشر البيانات المسروقة، إضافة إلى استخدام أدوات المراقبة عن بُعد التي تُوظف عادةً في الإدارة الشرعية.
ووفقاً لتقرير صدر عن وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) في أغسطس 2024، تراوحت مطالب الفدية بين مليون إلى عشرة ملايين دولار من كل ضحية، وسُجلت حالة وصلت فيها المطالب إلى 60 مليون دولار. وبلغ إجمالي المبالغ المطلوبة أكثر من 500 مليون دولار خلال عامين فقط.
هل Chaos هي النسخة الجديدة من BlackSuit؟
رغم تفكيك البنية التحتية للمجموعة، لم تُعلن أي جهة رسمياً عن اعتقال الأفراد المرتبطين بها. وتُرجح التقارير أن بعض الأعضاء قد انضموا إلى مجموعة فدية جديدة تحمل اسم Chaos.
ووفقاً لتقييم صادر عن وحدة Talos التابعة لشركة Cisco في 24 يوليو، فإن Chaos قد تكون تطوراً مباشراً لـ BlackSuit أو على الأقل تضم أعضاء سابقين منها. واستند التقييم إلى أوجه الشبه في التكتيكات وأوامر التشفير، وتصميم رسائل الفدية، واستخدام أدوات إدارة الأنظمة عن بعد.
وشملت الجهات المشاركة في “كش ملك” كلاً من جهاز الخدمة السرية الأميركية، والشرطة الوطنية الهولندية، ومكتب الشرطة الجنائية الاتحادية في ألمانيا، والوكالة الوطنية للجريمة البريطانية (NCA)، ومكتب المدعي العام في فرانكفورت، وشرطة الإنترنت الأوكرانية.
في حين لم تصدر وزارة العدل الأميركية أو الوكالة البريطانية لمكافحة الجريمة أي بيان رسمي يؤكد عملية المصادرة حتى لحظة إعداد التقرير.
