V rámci rozsiahlej medzinárodnej  spolupráci na čele s Nemeckom a USA  sa v rámci operácie s krycím názvom Checkmate sa podarilo zabaviť servery a infraštruktúru skupiny BlackSuit, ktorá patrila medzi najaktívnejšie ransomvérové zoskupenia posledných rokov. Zásah, ktorý prebehol v júli 2025, bol výsledkom dlhodobej spolupráce viacerých bezpečnostných zložiek z Európy, Severnej Ameriky a ďalších krajín.

BlackSuit vznikol v roku 2023 ako priame pokračovanie predchádzajúcej skupiny Royal, pričom jeho korene siahajú až k známym kybernetickým gangom ako Quantum či Conti. Počas svojej činnosti sa zameriaval na cielené útoky proti širokému spektru subjektov – od výrobných spoločností a zdravotníckych zariadení, až po mestské úrady a výskumné inštitúcie. Odhaduje sa, že skupina mala na konte vyše 180 potvrdených útokov a spôsobila škody v hodnote presahujúcej pol miliardy dolárov.

Kľúčovým prvkom operácie bolo odstavenie darkwebových stránok BlackSuitu, ktoré slúžili na vydieranie obetí a vyjednávanie o výkupnom. Namiesto pôvodného obsahu sa teraz na týchto stránkach zobrazuje oznam o zadržaní v rámci medzinárodného vyšetrovania. Takýto krok výrazne narušil schopnosť skupiny komunikovať s obeťami a šíriť ukradnuté údaje.

Ransomvér BlackSuit bol technicky sofistikovaný a využíval viacvrstvový šifrovací mechanizmus. Po preniknutí do cieľového systému aktivoval rutiny, ktoré prehľadali diskové oddiely a sieťové zdieľania, následne šifrovali súbory.  Okrem samotného šifrovania BlackSuit často skopíroval citlivé dáta ešte pred blokovaním prístupu, čím vytváral dodatočný tlak na zaplatenie výkupného.

Na šírenie používal skupina viacero techník, od kompromitovaných prihlasovacích údajov a zraniteľností vo VPN bránach, až po zneužitie neaktualizovaných serverových služieb. V prípade virtualizovaných prostredí, ako je VMware ESXi, boli útoky prispôsobené na paralelné šifrovanie viacerých virtuálnych strojov, čo dokázalo ochromiť prevádzku celej organizácie v priebehu niekoľkých minút.

Hoci ide o zásadné oslabenie, bezpečnostní experti upozorňujú, že podobné skupiny sa často dokážu rýchlo reorganizovať a pokračovať v činnosti pod novým názvom. Už niekoľko týždňov pred samotnou operáciou sa objavili známky vzniku nového ransomvérového projektu s názvom Chaos, ktorý podľa dostupných informácií tvorili bývalí členovia BlackSuitu. Tento nový variant používa takmer identické technické postupy a rovnako sa zameriava na viacero platforiem a virtualizačné riešenia.

Význam operácie Checkmate však nespočíva len v technickom zásahu. Zabavená infraštruktúra obsahuje množstvo dát, ktoré môžu poslúžiť na identifikáciu jednotlivých členov skupiny a odhaliť ich finančné toky. To vytvára priestor pre trestné stíhanie, prípadné zatknutia a zmrazenie prostriedkov pochádzajúcich z trestnej činnosti.

Podľa vyjadrení zapojených orgánov ide o príklad úspešnej spolupráce medzi bezpečnostnými službami a súkromným sektorom. Pre obete ransomvérových útokov predstavuje zásah nádej na zamedzenie ďalšieho úniku citlivých dát a príležitosť na obnovenie systémov bez nutnosti zaplatiť výkupné. Hoci boj s kybernetickým zločinom zostáva dlhodobou výzvou, operácia Checkmate je dôkazom, že koordinovaný medzinárodný postup dokáže zasiahnuť aj komplexné a sofistikované kriminálne siete.