L’Opération Checkmate met fin à l’infrastructure de BlackSuit (ex-Royal) Ransomware après 450 victimes et 370 M$ extorqués. Le DOJ saisit 4 serveurs, 9 domaines et 1,09 M$ en cryptomonnaies avec des partenaires de 7 pays.
Le 25 mars 2026, le Département de Justice américain (DOJ) annonce le démantèlement coordonné de BlackSuit Ransomware — anciennement connu sous le nom Royal Ransomware — dans le cadre de l’Opération Checkmate. L’opération mobilise le FBI, le Secret Service, l’IRS-CI, le HSI (Homeland Security Investigations), et des partenaires de sept pays : Royaume-Uni, Allemagne, Irlande, France, Canada, Ukraine et Lituanie. Le bilan est lourd : depuis janvier 2022, le groupe a compromis plus de 450 organisations américaines dans des secteurs critiques — santé, éducation, infrastructures énergétiques, gouvernement — et extorqué plus de 370 millions de dollars de rançons. L’opération aboutit à la saisie de quatre serveurs, neuf domaines et des cryptomonnaies équivalant à 1,09 million de dollars. Cette neutralisation intervient dans un contexte de démantèlements successifs de grandes infrastructures ransomware, illustrant l’efficacité croissante de la coopération internationale en cyberdéfense opérationnelle.
En bref
- Opération Checkmate : démantèlement de BlackSuit (ex-Royal) Ransomware par le DOJ et partenaires de 7 pays
- Bilan : 450+ victimes US, 370 M$ extorqués depuis 2022, secteurs santé/éducation/énergie/gouvernement
- Résultat : 4 serveurs saisis, 9 domaines coupés, 1,09 M$ en cryptomonnaies récupérés, clés de déchiffrement disponibles
L’Opération Checkmate : coordination internationale inédite
L’Opération Checkmate est le fruit d’une enquête de deux ans coordonnée via Europol et Eurojust. Les serveurs saisis sont localisés en Europe de l’Est, conformément aux patterns opérationnels habituels des groupes RaaS. Royal Ransomware, actif depuis janvier 2022, avait adopté le nom BlackSuit en mai 2023 après avoir émergé de la dissolution de l’opération Conti — ce qui explique la sophistication technique et l’expérience opérationnelle du groupe. Les vecteurs d’accès initial privilégiés incluaient le phishing ciblé et l’exploitation de vulnérabilités VPN. Pour comprendre ces techniques d’accès initial, voir notre analyse des campagnes EvilTokens PhaaS et phishing avancé.
Bilan : 370 millions extorqués sur 4 ans
Le DOJ détaille les chiffres : BlackSuit/Royal a ciblé plus de 450 organisations américaines entre 2022 et 2026, avec des rançons individuelles allant de 250 000 dollars à 60 millions de dollars selon la taille de la cible. Le secteur santé est le plus impacté : hôpitaux, réseaux de cliniques, fournisseurs de solutions médicales. Les perturbations vont au-delà du chiffrement — interventions chirurgicales reportées, résultats d’examens inaccessibles, monitoring des patients déconnecté. Ce modèle d’extorsion double (chiffrement + menace de publication sous 72 heures) est similaire à celui de groupes neutralisés récemment, comme Tycoon 2FA démantélé par Europol et Microsoft. Les tactiques du groupe se rapprochent également de celles analysées dans notre couverture de l’attaque Handala/Stryker et la réponse du FBI.
Ce que ce démantèlement change concrètement
La neutralisation d’une infrastructure ransomware ne met pas fin aux attaques : les affiliés actifs de BlackSuit vont migrer vers d’autres plateformes RaaS dans les prochaines semaines. En revanche, la saisie des serveurs donne aux enquêteurs accès aux listes de victimes, aux communications internes et aux clés de déchiffrement non utilisées. Le DOJ indique que des clés seront mises à disposition des victimes n’ayant pas payé via le portail No More Ransom. Les victimes peuvent également signaler leur cas au FBI via ic3.gov pour obtenir une assistance. Pour anticiper les nouvelles menaces des affiliés dispersés, notre couverture de Slopoly (Hive0163) et les ransomwares assistés par IA offre un contexte pertinent.
Recommandations
- Victimes BlackSuit/Royal n’ayant pas payé : contacter le FBI via ic3.gov ou le CERT-FR pour demander une clé de déchiffrement
- Renforcer la protection des accès VPN et RDP — vecteurs d’entrée privilégiés : MFA obligatoire, restriction géographique, monitoring des connexions
- Vérifier et tester les sauvegardes hors-ligne — les sauvegardes connectées ont été systématiquement chiffrées par BlackSuit
- Surveiller les recrutements d’affiliés sur les forums underground — indicateur d’une nouvelle plateforme RaaS absorbant les anciens membres
À retenir
Le démantèlement de BlackSuit ne met pas fin aux ransomwares. Les affiliés vont migrer. Si vous avez été victime de BlackSuit/Royal sans payer, contactez le FBI immédiatement pour obtenir une clé de déchiffrement disponible suite aux saisies des serveurs.
Quelle est la différence entre Royal Ransomware et BlackSuit ?
Royal Ransomware est apparu en janvier 2022 comme successeur de Conti après la dissolution de ce groupe. En mai 2023, les opérateurs ont rebaptisé leur infrastructure BlackSuit sans changement majeur dans leurs TTPs ni leur base d’affiliés. BlackSuit représente donc la continuité opérationnelle directe de Royal, avec le même code de chiffrement partiellement remanié et les mêmes cibles prioritaires dans les secteurs santé, éducation et infrastructures critiques.
Comment obtenir une clé de déchiffrement BlackSuit après l’Opération Checkmate ?
Les victimes de BlackSuit ou Royal Ransomware n’ayant pas payé doivent contacter le FBI via le portail ic3.gov en décrivant leur incident, ou s’adresser au CERT-FR (cert.ssi.gouv.fr/contact) pour les entités françaises. Des clés de déchiffrement issues des serveurs saisis sont également disponibles sur le portail No More Ransom. Munissez-vous d’un échantillon de fichier chiffré et de la note de rançon pour identifier précisément la variante du malware et obtenir la clé adéquate.
Quels étaient les indicateurs de compromission (IoC) de BlackSuit Ransomware ?
Les principaux IoC de BlackSuit incluaient : des connexions RDP ou VPN depuis des IPs russes ou ukrainiennes non habituelles, des exécutions de PsExec, Cobalt Strike ou SystemBC sur des serveurs Windows, des tâches planifiées inconnues créées avec des noms aléatoires, et la présence du fichier README.BlackSuit.txt sur les systèmes chiffrés. Le groupe utilisait systématiquement Veeam et les snapshots VSS pour effacer les sauvegardes avant le chiffrement final.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu’elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est un expert senior en cybersécurité offensive et intelligence artificielle avec plus de 20 ans d'expérience. Spécialisé en rétro-ingénierie, forensics numériques et développement de modèles IA, il accompagne les organisations dans la sécurisation d'infrastructures critiques.
Expert judiciaire et conférencier reconnu, il intervient auprès des plus grandes organisations françaises et européennes. Ses domaines couvrent l'audit Active Directory, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares et l'IA générative (RAG, LLM).
Ressources & Outils de l'auteur
Articles connexes
Mandiant M-Trends 2026 : accès initial cédé en 22 secondes
Le rapport M-Trends 2026 de Mandiant révèle que l'accès initial est cédé en 22 secondes et que les ransomwares adoptent le recovery denial pour rendre toute restauration impossible.
Medusa Ransomware : 9 jours hors-ligne pour un hôpital US
Medusa ransomware a paralysé le University of Mississippi Medical Center pendant 9 jours : 35 cliniques fermées, 1 To de données médicales exfiltrées, rançon de 800 000 dollars.
GlassWorm utilise Solana comme C2 pour son RAT furtif
GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son RAT quasi impossible à bloquer.
Commentaires (1)
Laisser un commentaire