En un gran paso contra el cibercrimen, agencias de seguridad de todo el mundo se han unido para derribar los sitios web de la dark web utilizados por el grupo de ransomware BlackSuit, conocido por atacar redes de cientos de organizaciones a nivel global en los últimos años.
El Departamento de Justicia de Estados Unidos (DOJ) confirmó este jueves 24 de julio de 2025, la incautación de los dominios utilizados por los operadores de BlackSuit, en una acción coordinada con múltiples países y autorizada por una orden judicial.
Desde esta mañana, quienes intentan acceder a los sitios .onion de BlackSuit se encuentran con una clara advertencia: una pancarta de incautación que indica que los dominios han sido tomados por el gobierno de EE. UU. como parte de una operación conjunta bautizada como "Operación Jaque Mate".
“Este sitio ha sido incautado por Investigaciones de Seguridad Nacional de EE. UU. como parte de una investigación internacional coordinada de aplicación de la ley”, se lee en el aviso que ahora reemplaza el contenido original.
La operación no fue un esfuerzo aislado. Además de Investigaciones de Seguridad Nacional (HSI), participaron otras agencias de alto nivel como el Servicio Secreto de EE. UU., la Policía Nacional de los Países Bajos, la Oficina de Policía Criminal del Estado de Alemania (LKA), la Agencia Nacional del Crimen del Reino Unido (NCA), la Fiscalía General de Frankfurt, el Departamento de Justicia estadounidense, la Policía Cibernética de Ucrania, Europol y más.
Este movimiento coordinado representa un golpe importante contra uno de los grupos de ransomware más activos de los últimos tiempos. Además, envía un mensaje claro: incluso en la dark web, los criminales digitales no están fuera del alcance de la justicia.
Banner de incautación de BlackSuit
La historia se repite en el mundo del ransomware, y esta vez le toca a BlackSuit, un viejo conocido de los investigadores de ciberseguridad. Según un informe reciente del equipo de inteligencia de amenazas de Cisco Talos, todo apunta a que el grupo estaría cambiando de nombre nuevamente y operando ahora bajo la identidad de Chaos ransomware.
“Evaluamos con confianza moderada que el nuevo grupo de ransomware Chaos es una reencarnación de BlackSuit (antes Royal) o está siendo operado por antiguos miembros del mismo grupo”, explicó Cisco Talos.
Los expertos llegaron a esta conclusión al analizar una serie de similitudes técnicas y tácticas (TTPs, por sus siglas en inglés). Por ejemplo:
Comandos de cifrado casi idénticos.
La estructura y el lenguaje de las notas de rescate son muy similares.
Uso de herramientas conocidas como LOLbins (binarios legítimos usados con fines maliciosos) y software de acceso remoto (RMM).
Todo esto sugiere que no se trata de un grupo completamente nuevo, sino más bien de una nueva cara para una operación con un largo historial.
Podría interesarte leer: Malware Lumma Infostealer Regresa Después de la Interrupción Policial
Para entender este cambio, hay que mirar hacia atrás. La historia de BlackSuit está marcada por varios cambios de identidad:
Enero de 2022 – El grupo aparece como Quantum ransomware, posiblemente como sucesor directo del infame colectivo Conti.
Septiembre de 2022 – Cambian de nombre a Royal ransomware, dejando atrás encriptadores prestados y lanzando su propia herramienta: Zeon.
Junio de 2023 – Luego de un ataque mediático a la ciudad de Dallas, Texas, comienzan a operar bajo un nuevo nombre: BlackSuit, tras probar su encriptador del mismo nombre.
2025 – Surgen fuertes señales de que el grupo ha vuelto a rebrandearse, esta vez como Chaos ransomware.
Este patrón no es nuevo. Muchos grupos de ransomware se renuevan cada cierto tiempo para evadir a las autoridades, desviar la atención o simplemente para refrescar su imagen y tácticas.
Aunque han cambiado de nombre varias veces, los investigadores coinciden en que estamos viendo distintas caras de una misma operación o, al menos, de miembros que han trabajado juntos antes. Así lo confirma las autoridades de ciberseguridad de Estados Unidos.
Ya en noviembre de 2023, un comunicado conjunto del FBI y la CISA (Agencia de Ciberseguridad e Infraestructura) advertía sobre las sorprendentes similitudes entre Royal y BlackSuit, tanto en su código como en sus tácticas de ataque.
Y en agosto de 2024, ambas agencias confirmaron oficialmente lo que ya se sospechaba: BlackSuit era el nuevo nombre de Royal ransomware. En ese mismo comunicado se reveló que, desde sus inicios, el grupo había atacado a más de 350 organizaciones a nivel mundial, exigiendo rescates por más de 500 millones de dólares.
Para las organizaciones y expertos en ciberseguridad, el cambio de marca no significa que el grupo haya desaparecido. Todo lo contrario: podría ser una señal de que están refinando sus técnicas y ampliando su alcance.
El nombre Chaos ransomware ya había sido utilizado en otros contextos maliciosos, pero esta nueva versión parece estar más alineada con la evolución de BlackSuit/Royal. Por ahora, las similitudes técnicas son suficientes para establecer un vínculo, aunque los investigadores seguirán monitoreando su actividad para confirmarlo con mayor certeza.
Podría interesarte leer: Ransomware en México: ¿Cómo afecta al sector TI y cómo prevenirlo?
Ya sea que se llamen BlackSuit, Royal o Chaos, las tácticas de estos grupos suelen ser similares:
acceso inicial por phishing o vulnerabilidades, movimiento lateral dentro de la red, robo de datos y luego cifrado masivo. Para reducir riesgos, las recomendaciones siguen siendo las de siempre (y más relevantes que nunca):
Implementa copias de seguridad seguras y desconectadas de la red principal. Las copias offline o inmutables son clave para evitar que el ransomware las cifre también.
Mantén todos los sistemas actualizados, especialmente los parches de seguridad críticos que corrigen vulnerabilidades conocidas.
Activa la autenticación multifactor (MFA) en todos los accesos sensibles, especialmente en cuentas de administrador y accesos remotos.
Educa a los trabajadores sobre cómo identificar correos sospechosos, enlaces engañosos y ataques de phishing. El factor humano sigue siendo uno de los eslabones más débiles.
Monitorea el tráfico de red y utiliza herramientas modernas de detección y respuesta como EDR o XDR para identificar comportamientos anómalos en tiempo real.
Extra tip: Si buscas una solución confiable y robusta para proteger tus datos contra ransomware, TecnetProtect Backup es una excelente opción. Esta plataforma se basa en la reconocida tecnología de Acronis, lo que le permite ofrecer una defensa avanzada frente a amenazas como el cifrado malicioso, con capacidades de detección proactiva, recuperación automática de archivos y protección integral de copias de seguridad.
Con TecnetProtect Backup, puedes:
Detectar y bloquear ataques de ransomware en tiempo real, gracias a algoritmos avanzados de análisis de comportamiento.
Recuperar archivos automáticamente en caso de intento de cifrado malicioso.
Proteger las copias de seguridad contra manipulaciones, asegurando que permanezcan íntegras y accesibles incluso si el sistema principal es comprometido.
Aislar procesos sospechosos y evitar que afecten el entorno de backup.
Implementar backups cifrados y firmados, garantizando autenticidad y confidencialidad.
Este tipo de soluciones no solo permiten restaurar datos rápidamente tras un ataque, sino que reducen el tiempo de inactividad y el impacto económico en caso de incidente.
Además, si perteneces a una organización crítica o esencial (como salud, energía, transporte, etc.), considera establecer un plan de respuesta a incidentes específico para ransomware. Este plan debe incluir roles, tiempos de reacción, canales de comunicación y protocolos de recuperación.
El posible cambio de nombre de BlackSuit a Chaos ransomware no es una sorpresa, pero sí un recordatorio contundente: el ransomware sigue evolucionando, adaptándose y reorganizándose para seguir operando en la sombra.
Las empresas deben mantenerse atentas, no solo a los nombres que van cambiando, sino a las tácticas y patrones comunes detrás de estos grupos. Mientras tanto, los expertos y agencias de seguridad seguirán de cerca a Chaos, buscando más pistas que confirmen su verdadera identidad.
Y tú, ¿está tu empresa preparada para enfrentar a Chaos y otras amenazas del cibercrimen?