En una operación internacional coordinada, las agencias de aplicación de la ley desmantelaron con éxito la infraestructura crítica que pertenecía al Grupo de Ransomware BlackSuit, también conocido como Royal, marcando una victoria significativa en la batalla en curso contra las empresas ciberdelectivas.
La operación de eliminación del 24 de julio de 2025 resultó en la incautación de cuatro servidores, nueve dominios y aproximadamente $ 1.09 millones en ingresos de criptomonedas lavadas, lo que demuestra las sofisticadas redes financieras que estos actores de amenaza emplean para monetizar sus ataques.
La familia de ransomware BlackSuit se ha convertido en una de las amenazas más persistentes dirigidas a la infraestructura crítica estadounidense, con ataques que abarcan múltiples sectores que incluyen atención médica, instalaciones gubernamentales, fabricación crítica y operaciones comerciales.
Los operadores del malware han demostrado una sofisticación particular en su metodología de ataque, utilizando una combinación de técnicas de infiltración de red y sistemas de pago basados en criptomonedas para maximizar su alcance y sus rendimientos financieros.
La preferencia del grupo por las transacciones de bitcoin realizadas a través de los mercados de DarkNet les ha permitido mantener el anonimato operativo mientras procesan millones en pagos de rescate.
Analistas de la Oficina de Asuntos Públicos identificado La evolución del ransomware de las variantes anteriores, observando sus capacidades de evasión mejoradas y los mecanismos de procesamiento de pagos simplificados.
La investigación reveló que las víctimas se dirigían generalmente a sitios web especializados de DarkNet donde se comunicaron las demandas de rescate y las direcciones de billetera de Bitcoin proporcionaban el procesamiento de pagos.
Esta infraestructura permitió al grupo mantener canales de comunicación persistentes con las víctimas mientras ofuscaba sus verdaderas ubicaciones operativas.
Infraestructura avanzada de lavado de criptomonedas
El análisis técnico de las operaciones financieras de BlackSuit reveló un sofisticado esquema de lavado de criptomonedas que ejemplifica las tácticas modernas de movimiento del dinero cibercriminal.
Los resultados de la investigación demostraron que el grupo empleó un enfoque de múltiples capas para oscurecer los senderos de transacción, utilizando depósitos repetidos y retiros en varios intercambios de criptomonedas para romper la conexión directa entre los pagos de rescate y las billeteras de destino finales.
Un estudio de caso particularmente esclarecedor surgió del ataque del 4 de abril de 2023, donde los investigadores rastrearon el pago de una víctima de 49.3120227 Bitcoin, valorado en $ 1,445,454.86 en el momento de la transacción.
El proceso posterior de lavado de dinero implicó fragmentar este pago en múltiples cuentas de intercambio, y las porciones se movían sistemáticamente a través de varias billeteras intermedias antes de los intentos de extracción final.
La complejidad de la operación fue evidente en el hecho de que $ 1,091,453 en los ingresos permanecieron en circulación durante casi nueve meses antes de ser congelado por las medidas de seguridad de intercambio el 9 de enero de 2024.
Esta acción de aplicación coordinada, que involucra a agencias de ocho países, incluidos HSI, el Servicio Secreto de EE. UU., IRS-CI, FBI e socios internacionales, representa un nuevo paradigma en los esfuerzos de interrupción de ransomware, apuntando no solo a la infraestructura de malware sino a todo el ecosistema financiero que permite estas empresas criminales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
