- Сообщения
- 7.806
- Реакции
- 10.690
Royal (в последующие годы связанная с именем BlackSuit) и Black Basta - показывают один и тот же базовый механизм, но с разной организацией труда, разной тактикой доступа и разной "экономикой угроз".
В официальном совместном предупреждении США про Black Basta эта операция прямо описана как "ransomware-as-a-service" и датируется как минимум с апреля 2022 года, а также отмечается, что атаки затронули не менее 12 из 16 секторов критической инфраструктуры. Это способ объяснить, почему одна и та же группа может одновременно бить по здравоохранению, промышленности и сервисам: она продает доступ и технологию партнерам, а партнеры выбирают цели. Royal всплывает в официальной рамке как активная операция примерно с сентября 2022 года. Совместное предупреждение ФБР и CISA (в версии от 13.11.2023) фиксирует, что с сентября 2022 года Royal атаковал более 350 известных жертв по всему миру, а сумма требований превышала 275 миллионов долларов. Указываются и типовые диапазоны требований: примерно от 1 до 11 миллионов долларов. Важен не сам диапазон, а то, что он показывает уровень целевого профиля: это не "вымогательство на тысячу долларов", а работа по организациям, для которых простой систем и риск утечки данных конвертируются в миллионы. У Royal есть характерная деталь переговорной модели. В наблюдаемых инцидентах операция не оставляла в записке о выкупе готовых реквизитов и суммы, а требовала перейти на .onion-страницу и вступить в прямой контакт. Это делает процесс более управляемым: преступники видят, кто пришел, могут калибровать давление, оценивать страхи жертвы и выбирать темп. Такой формат одновременно снижает "массовость" и повышает эффективность в крупных целях.
По механике проникновения Royal в официальном описании смотрится как гибрид привычных методов. Среди путей первичного доступа упоминаются фишинг, компрометация удаленного рабочего стола (RDP), эксплуатация публичных приложений, а также использование посредников, которые продают доступ, включая добытый из "логов" похищенных учетных данных. После закрепления в сети группа, согласно предупреждению, отключает антивирус, выгружает большие объемы данных и лишь потом разворачивает шифрование. Упоминаются типовые для отрасли инструменты и подходы: перемещение по сети через RDP и PsExec, применение программ удаленного администрирования (AnyDesk, LogMeIn, Atera) для устойчивого доступа, использование легитимных утилит Windows и популярных инструментов тестирования на проникновение, включая Cobalt Strike, а также удаление теневых копий через vssadmin для ухудшения восстановления. Эта схема, если описывать ее "по-ОПГшному", выглядит так: сначала добыть вход, затем убрать сторожей (антивирус и журналы), затем вынести самое ценное (данные), а только после этого сжечь мосты (шифрование), чтобы у жертвы не осталось спокойного варианта "мы восстановимся и промолчим". Двойное вымогательство (угроза публикации данных плюс шифрование) здесь не дополнительная опция, а ядро дохода.
В тех же официальных материалах 2023 года звучит важная ремарка: есть признаки подготовки к переименованию или появлению "ответвления", а BlackSuit описывается как близкий по кодовым характеристикам. Эта мысль позже закрепляется отдельным совместным предупреждением уже про BlackSuit (Royal), которое прямо увязывает BlackSuit с Royal. Для рынка вымогателей ребрендинг - не косметика. Он решает сразу несколько задач: сбросить токсичную репутацию после громких атак, обойти блокировки инфраструктуры, перезапустить переговорную площадку, снизить давление правоохранителей и сохранить партнерскую сеть. В терминах криминальной экономики это похоже на смену вывески у нелегального бизнеса после серии проверок: персоналии могут частично сохраняться, но юридический и медийный "шлейф" пытаются обнулить. Кульминацией истории Royal-BlackSuit в 2025 году становится государственное вмешательство, которое важно именно документируемостью. 11.08.2025 Министерство юстиции США сообщило о скоординированных действиях по нарушению работы инфраструктуры BlackSuit (Royal), включая конфискации доменов и сетевых ресурсов. Для читателя это ключевой маркер: государство описывает не просто угрозу, а конкретную операцию против конкретной инфраструктуры. Дальше вступает в силу типовая динамика: даже успешные нарушения инфраструктуры не означают исчезновения рынка. Скорее, они повышают стоимость анонимности и ускоряют миграцию в новые бренды и новые технические площадки. Это важно удерживать в голове, чтобы не путать "удар по сайту" с "исчезновением ОПГ".
Black Basta в официальном совместном предупреждении описан как операция "вымогательство как услуга", впервые идентифицированная в апреле 2022 года. По данным предупреждения, к маю 2024 года (в первоначальной редакции материала) было зафиксировано более 500 жертв по всему миру. Там же фиксируется секторный размах и то, что под ударом оказались критические инфраструктуры. Особенность Black Basta не в экзотических технологиях, а в тактическом давлении на персонал и в стандартизации цепочки. В официальном описании встречаются приемы социальной инженерии, которые важны для понимания "психологии атаки". Например, упоминается тактика "бомбардировки" почтовых ящиков (массовая рассылка, создающая ощущение хаоса), а затем звонок или контакт от имени "службы поддержки", который предлагает "помочь" и просит открыть удаленный доступ или выполнить действия. В версии обновления от 08.11.2024 отдельно отмечается использование Microsoft Teams для контакта с сотрудниками и убеждение пользователей запускать легитимные инструменты удаленного доступа, такие как AnyDesk или Quick Assist. Если говорить проще, это атака не только на сервер, но и на человека как на слабое звено процесса. Организации могут иметь неплохую техническую защиту, но если сотрудник сам запускает удаленный доступ, злоумышленник получает "законные" двери.
Технологическая часть Black Basta в официальном описании выглядит как набор типовых индустриальных инструментов. Для разведки упоминается SoftPerfect Network Scanner и использование утилит с маскировочными названиями. Для повышения привилегий - Mimikatz и эксплуатация известных уязвимостей домена и Windows (в тексте перечислены ZeroLogon, NoPac, PrintNightmare). Для перемещения по сети - BITSAdmin, PsExec, RDP и удаленные инструменты. Для выгрузки данных - RClone. Для подавления защиты - PowerShell и инструмент Backstab, предназначенный для выключения средств обнаружения и реагирования. Для шифрования указаны ChaCha20 и RSA-4096, а также типовые действия по удалению теневых копий через vssadmin. Внутри этой цепочки есть очень важная криминальная логика. Большинство решений не уникальны и не требуют "гениальности". Сила операции в том, что она собирает доступные инструменты в устойчивую производственную линию, где каждый шаг поддерживает следующий. Разведка дает карту сети. Привилегии дают контроль. Удаленный доступ дает масштабирование. Выгрузка данных превращает шифрование из "саботажа" в "торговлю страхом". А переговорная площадка в даркнете превращает страх в деньги. Для понимания современных групп важны не только официальные предупреждения, но и редкие случаи, когда наружу выходит внутренняя коммуникация. В 2025 году исследователи описывали утечки переписок Black Basta, которые дают представление о реальной "организации труда": как распределяются роли, как обсуждаются цели, как строится переговорная риторика и какие внутренние конфликты возникают в процессе. Эти утечки не отменяют того, что часть данных может быть неполной или фрагментарной, но они меняют угол зрения: вместо мифа о едином центре управления видна операционная рутина и человеческие ошибки.
У вымогателей почти всегда несколько источников прибыли, и это тоже признак "ОПГ-подобности".
Первый уровень - выкуп за расшифровку и обещание не публиковать данные. Он строится на простой бухгалтерии боли: сколько стоит простой бизнеса, сколько стоит восстановление, какой риск штрафов и репутационного удара.
Второй уровень - продажа украденных данных или использование их как рычага на поставщиков и партнеров. Даже если жертва не платит, утечка может быть монетизирована вторично.
Третий уровень - продажа доступа и посредничество. Те, кто специализируется на первичном доступе, могут продавать вход в сеть отдельным "бригадам". Это классическая криминальная специализация: один отвечает за "ключи", другой - за "разбор" объекта.
Четвертый уровень - сервисная экономика вокруг операций: аренда инфраструктуры, хостинг, покупка вредоносных инструментов, теневые платежные сервисы. Здесь даркнет часто выполняет роль рынка и переговорной площадки.
Royal (и связанный с ним BlackSuit) демонстрирует стиль, ориентированный на крупные требования, переговорную управляемость и быстрый темп атак по организациям, где ставка на миллионы выглядит рациональной. Официальные данные показывают масштаб жертв и объём требований, а также то, что операция мыслит категориями "секторов" и "глобальных целей".
Black Basta демонстрирует индустриальную стандартизацию и приёмы давления на персонал, особенно через легитимные инструменты удалённой поддержки. Его цепочка в официальном описании выглядит как производственная линия, где социальная инженерия встроена в техническую операцию.
Рынок вымогателей держится не на уникальном шифраторе, а на том, что у операции есть дисциплина, сервис, партнёры и инфраструктура. И пока это остаётся дешевле, чем риск быть пойманным, такие проекты будут появляться, переименовываться и возвращаться.
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
В официальном совместном предупреждении США про Black Basta эта операция прямо описана как "ransomware-as-a-service" и датируется как минимум с апреля 2022 года, а также отмечается, что атаки затронули не менее 12 из 16 секторов критической инфраструктуры. Это способ объяснить, почему одна и та же группа может одновременно бить по здравоохранению, промышленности и сервисам: она продает доступ и технологию партнерам, а партнеры выбирают цели. Royal всплывает в официальной рамке как активная операция примерно с сентября 2022 года. Совместное предупреждение ФБР и CISA (в версии от 13.11.2023) фиксирует, что с сентября 2022 года Royal атаковал более 350 известных жертв по всему миру, а сумма требований превышала 275 миллионов долларов. Указываются и типовые диапазоны требований: примерно от 1 до 11 миллионов долларов. Важен не сам диапазон, а то, что он показывает уровень целевого профиля: это не "вымогательство на тысячу долларов", а работа по организациям, для которых простой систем и риск утечки данных конвертируются в миллионы. У Royal есть характерная деталь переговорной модели. В наблюдаемых инцидентах операция не оставляла в записке о выкупе готовых реквизитов и суммы, а требовала перейти на .onion-страницу и вступить в прямой контакт. Это делает процесс более управляемым: преступники видят, кто пришел, могут калибровать давление, оценивать страхи жертвы и выбирать темп. Такой формат одновременно снижает "массовость" и повышает эффективность в крупных целях.
По механике проникновения Royal в официальном описании смотрится как гибрид привычных методов. Среди путей первичного доступа упоминаются фишинг, компрометация удаленного рабочего стола (RDP), эксплуатация публичных приложений, а также использование посредников, которые продают доступ, включая добытый из "логов" похищенных учетных данных. После закрепления в сети группа, согласно предупреждению, отключает антивирус, выгружает большие объемы данных и лишь потом разворачивает шифрование. Упоминаются типовые для отрасли инструменты и подходы: перемещение по сети через RDP и PsExec, применение программ удаленного администрирования (AnyDesk, LogMeIn, Atera) для устойчивого доступа, использование легитимных утилит Windows и популярных инструментов тестирования на проникновение, включая Cobalt Strike, а также удаление теневых копий через vssadmin для ухудшения восстановления. Эта схема, если описывать ее "по-ОПГшному", выглядит так: сначала добыть вход, затем убрать сторожей (антивирус и журналы), затем вынести самое ценное (данные), а только после этого сжечь мосты (шифрование), чтобы у жертвы не осталось спокойного варианта "мы восстановимся и промолчим". Двойное вымогательство (угроза публикации данных плюс шифрование) здесь не дополнительная опция, а ядро дохода.
В тех же официальных материалах 2023 года звучит важная ремарка: есть признаки подготовки к переименованию или появлению "ответвления", а BlackSuit описывается как близкий по кодовым характеристикам. Эта мысль позже закрепляется отдельным совместным предупреждением уже про BlackSuit (Royal), которое прямо увязывает BlackSuit с Royal. Для рынка вымогателей ребрендинг - не косметика. Он решает сразу несколько задач: сбросить токсичную репутацию после громких атак, обойти блокировки инфраструктуры, перезапустить переговорную площадку, снизить давление правоохранителей и сохранить партнерскую сеть. В терминах криминальной экономики это похоже на смену вывески у нелегального бизнеса после серии проверок: персоналии могут частично сохраняться, но юридический и медийный "шлейф" пытаются обнулить. Кульминацией истории Royal-BlackSuit в 2025 году становится государственное вмешательство, которое важно именно документируемостью. 11.08.2025 Министерство юстиции США сообщило о скоординированных действиях по нарушению работы инфраструктуры BlackSuit (Royal), включая конфискации доменов и сетевых ресурсов. Для читателя это ключевой маркер: государство описывает не просто угрозу, а конкретную операцию против конкретной инфраструктуры. Дальше вступает в силу типовая динамика: даже успешные нарушения инфраструктуры не означают исчезновения рынка. Скорее, они повышают стоимость анонимности и ускоряют миграцию в новые бренды и новые технические площадки. Это важно удерживать в голове, чтобы не путать "удар по сайту" с "исчезновением ОПГ".
Black Basta в официальном совместном предупреждении описан как операция "вымогательство как услуга", впервые идентифицированная в апреле 2022 года. По данным предупреждения, к маю 2024 года (в первоначальной редакции материала) было зафиксировано более 500 жертв по всему миру. Там же фиксируется секторный размах и то, что под ударом оказались критические инфраструктуры. Особенность Black Basta не в экзотических технологиях, а в тактическом давлении на персонал и в стандартизации цепочки. В официальном описании встречаются приемы социальной инженерии, которые важны для понимания "психологии атаки". Например, упоминается тактика "бомбардировки" почтовых ящиков (массовая рассылка, создающая ощущение хаоса), а затем звонок или контакт от имени "службы поддержки", который предлагает "помочь" и просит открыть удаленный доступ или выполнить действия. В версии обновления от 08.11.2024 отдельно отмечается использование Microsoft Teams для контакта с сотрудниками и убеждение пользователей запускать легитимные инструменты удаленного доступа, такие как AnyDesk или Quick Assist. Если говорить проще, это атака не только на сервер, но и на человека как на слабое звено процесса. Организации могут иметь неплохую техническую защиту, но если сотрудник сам запускает удаленный доступ, злоумышленник получает "законные" двери.
Технологическая часть Black Basta в официальном описании выглядит как набор типовых индустриальных инструментов. Для разведки упоминается SoftPerfect Network Scanner и использование утилит с маскировочными названиями. Для повышения привилегий - Mimikatz и эксплуатация известных уязвимостей домена и Windows (в тексте перечислены ZeroLogon, NoPac, PrintNightmare). Для перемещения по сети - BITSAdmin, PsExec, RDP и удаленные инструменты. Для выгрузки данных - RClone. Для подавления защиты - PowerShell и инструмент Backstab, предназначенный для выключения средств обнаружения и реагирования. Для шифрования указаны ChaCha20 и RSA-4096, а также типовые действия по удалению теневых копий через vssadmin. Внутри этой цепочки есть очень важная криминальная логика. Большинство решений не уникальны и не требуют "гениальности". Сила операции в том, что она собирает доступные инструменты в устойчивую производственную линию, где каждый шаг поддерживает следующий. Разведка дает карту сети. Привилегии дают контроль. Удаленный доступ дает масштабирование. Выгрузка данных превращает шифрование из "саботажа" в "торговлю страхом". А переговорная площадка в даркнете превращает страх в деньги. Для понимания современных групп важны не только официальные предупреждения, но и редкие случаи, когда наружу выходит внутренняя коммуникация. В 2025 году исследователи описывали утечки переписок Black Basta, которые дают представление о реальной "организации труда": как распределяются роли, как обсуждаются цели, как строится переговорная риторика и какие внутренние конфликты возникают в процессе. Эти утечки не отменяют того, что часть данных может быть неполной или фрагментарной, но они меняют угол зрения: вместо мифа о едином центре управления видна операционная рутина и человеческие ошибки.
У вымогателей почти всегда несколько источников прибыли, и это тоже признак "ОПГ-подобности".
Первый уровень - выкуп за расшифровку и обещание не публиковать данные. Он строится на простой бухгалтерии боли: сколько стоит простой бизнеса, сколько стоит восстановление, какой риск штрафов и репутационного удара.
Второй уровень - продажа украденных данных или использование их как рычага на поставщиков и партнеров. Даже если жертва не платит, утечка может быть монетизирована вторично.
Третий уровень - продажа доступа и посредничество. Те, кто специализируется на первичном доступе, могут продавать вход в сеть отдельным "бригадам". Это классическая криминальная специализация: один отвечает за "ключи", другой - за "разбор" объекта.
Четвертый уровень - сервисная экономика вокруг операций: аренда инфраструктуры, хостинг, покупка вредоносных инструментов, теневые платежные сервисы. Здесь даркнет часто выполняет роль рынка и переговорной площадки.
Royal (и связанный с ним BlackSuit) демонстрирует стиль, ориентированный на крупные требования, переговорную управляемость и быстрый темп атак по организациям, где ставка на миллионы выглядит рациональной. Официальные данные показывают масштаб жертв и объём требований, а также то, что операция мыслит категориями "секторов" и "глобальных целей".
Black Basta демонстрирует индустриальную стандартизацию и приёмы давления на персонал, особенно через легитимные инструменты удалённой поддержки. Его цепочка в официальном описании выглядит как производственная линия, где социальная инженерия встроена в техническую операцию.
Рынок вымогателей держится не на уникальном шифраторе, а на том, что у операции есть дисциплина, сервис, партнёры и инфраструктура. И пока это остаётся дешевле, чем риск быть пойманным, такие проекты будут появляться, переименовываться и возвращаться.
IC3 (FBI | CISA) - "#StopRansomware: Royal Ransomware Update" (13.11.2023)
IC3 (FBI | CISA) - "#StopRansomware: BlackSuit (Royal) Ransomware" (07.08.2024)
U.S. Department of Justice - "Justice Department Announces Coordinated Disruption Actions Against BlackSuit (Royal) Ransomware" (11.08.2025)
IC3 (FBI | CISA | HHS | MS-ISAC) - "#StopRansomware: Black Basta" (обновлено 08.11.2024, исходная публикация 10.05.2024)
Trellix - "Analysis of Black Basta ransomware chat leaks" (2025)
LevelBlue - "A deep dive into the leaked Black Basta chat logs" (2025)
FIRST - "Black Basta ransomware leak" (21.03.2025)
Kudelski Security - "Unmasking BlackBasta: Inside the ransomware syndicate’s leaked operations" (2025)
IC3 (FBI | CISA) - "#StopRansomware: BlackSuit (Royal) Ransomware" (07.08.2024)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
U.S. Department of Justice - "Justice Department Announces Coordinated Disruption Actions Against BlackSuit (Royal) Ransomware" (11.08.2025)
IC3 (FBI | CISA | HHS | MS-ISAC) - "#StopRansomware: Black Basta" (обновлено 08.11.2024, исходная публикация 10.05.2024)
Trellix - "Analysis of Black Basta ransomware chat leaks" (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
LevelBlue - "A deep dive into the leaked Black Basta chat logs" (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
FIRST - "Black Basta ransomware leak" (21.03.2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Kudelski Security - "Unmasking BlackBasta: Inside the ransomware syndicate’s leaked operations" (2025)
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Этот обзор носит исключительно информационный характер и не является руководством к применению. Мы рекомендуем соблюдать законодательства любых стран! Автор не имеет конфликта интересов, статья подготовлена на основе открытых данных и рецензируемых публикаций, перечисленных по ходу текста или собраны в конце статьи. Этот материал был создан с использованием нескольких редакционных инструментов, включая искусственный интеллект, как часть процесса. Редакторы-люди проверяли этот контент перед публикацией.
Нажимай на изображение ниже, там ты найдешь все информационные ресурсы A&N
Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
Последнее редактирование:
