Le 25 mars 2026, le Département de Justice américain (DOJ) annonce le démantèlement coordonné de BlackSuit Ransomware — anciennement connu sous le nom Royal Ransomware — dans le cadre de l’Opération Checkmate. L’opération mobilise le FBI, le Secret Service, l’IRS-CI, le HSI (Homeland Security Investigations), et des partenaires de sept pays : Royaume-Uni, Allemagne, Irlande, France, Canada, Ukraine et Lituanie. Le bilan est lourd : depuis janvier 2022, le groupe a compromis plus de 450 organisations américaines dans des secteurs critiques — santé, éducation, infrastructures énergétiques, gouvernement — et extorqué plus de 370 millions de dollars de rançons. L’opération aboutit à la saisie de quatre serveurs, neuf domaines et des cryptomonnaies équivalant à 1,09 million de dollars. Cette neutralisation intervient dans un contexte de démantèlements successifs de grandes infrastructures ransomware, illustrant l’efficacité croissante de la coopération internationale en cyberdéfense opérationnelle.

  • Contexte et chronologie des événements
  • Impact sur l'écosystème cybersécurité
  • Leçons apprises et recommandations
  • Perspectives et évolutions attendues

En bref

  • Opération Checkmate : démantèlement de BlackSuit (ex-Royal) Ransomware par le DOJ et partenaires de 7 pays
  • Bilan : 450+ victimes US, 370 M$ extorqués depuis 2022, secteurs santé/éducation/énergie/gouvernement
  • Résultat : 4 serveurs saisis, 9 domaines coupés, 1,09 M$ en cryptomonnaies récupérés, clés de déchiffrement disponibles

L’Opération Checkmate : coordination internationale inédite

L’Opération Checkmate est le fruit d’une enquête de deux ans coordonnée via Europol et Eurojust. Les serveurs saisis sont localisés en Europe de l’Est, conformément aux patterns opérationnels habituels des groupes RaaS. Royal Ransomware, actif depuis janvier 2022, avait adopté le nom BlackSuit en mai 2023 après avoir émergé de la dissolution de l’opération Conti — ce qui explique la sophistication technique et l’expérience opérationnelle du groupe. Les vecteurs d’accès initial privilégiés incluaient le phishing ciblé et l’exploitation de vulnérabilités VPN. Pour comprendre ces techniques d’accès initial, voir notre analyse des campagnes EvilTokens PhaaS et phishing avancé.

Bilan : 370 millions extorqués sur 4 ans

Le DOJ détaille les chiffres : BlackSuit/Royal a ciblé plus de 450 organisations américaines entre 2022 et 2026, avec des rançons individuelles allant de 250 000 dollars à 60 millions de dollars selon la taille de la cible. Le secteur santé est le plus impacté : hôpitaux, réseaux de cliniques, fournisseurs de solutions médicales. Les perturbations vont au-delà du chiffrement — interventions chirurgicales reportées, résultats d’examens inaccessibles, monitoring des patients déconnecté. Ce modèle d’extorsion double (chiffrement + menace de publication sous 72 heures) est similaire à celui de groupes neutralisés récemment, comme Tycoon 2FA démantélé par Europol et Microsoft. Les tactiques du groupe se rapprochent également de celles analysées dans notre couverture de l’attaque Handala/Stryker et la réponse du FBI.

Ce que ce démantèlement change concrètement

La neutralisation d’une infrastructure ransomware ne met pas fin aux attaques : les affiliés actifs de BlackSuit vont migrer vers d’autres plateformes RaaS dans les prochaines semaines. En revanche, la saisie des serveurs donne aux enquêteurs accès aux listes de victimes, aux communications internes et aux clés de déchiffrement non utilisées. Le DOJ indique que des clés seront mises à disposition des victimes n’ayant pas payé via le portail No More Ransom. Les victimes peuvent également signaler leur cas au FBI via ic3.gov pour obtenir une assistance. Pour anticiper les nouvelles menaces des affiliés dispersés, notre couverture de Slopoly (Hive0163) et les ransomwares assistés par IA offre un contexte pertinent.

Recommandations

  • Victimes BlackSuit/Royal n’ayant pas payé : contacter le FBI via ic3.gov ou le CERT-FR pour demander une clé de déchiffrement
  • Renforcer la protection des accès VPN et RDP — vecteurs d’entrée privilégiés : MFA obligatoire, restriction géographique, monitoring des connexions
  • Vérifier et tester les sauvegardes hors-ligne — les sauvegardes connectées ont été systématiquement chiffrées par BlackSuit
  • Surveiller les recrutements d’affiliés sur les forums underground — indicateur d’une nouvelle plateforme RaaS absorbant les anciens membres

À retenir

Le démantèlement de BlackSuit ne met pas fin aux ransomwares. Les affiliés vont migrer. Si vous avez été victime de BlackSuit/Royal sans payer, contactez le FBI immédiatement pour obtenir une clé de déchiffrement disponible suite aux saisies des serveurs.

Quelle est la différence entre Royal Ransomware et BlackSuit ?

Royal Ransomware est apparu en janvier 2022 comme successeur de Conti après la dissolution de ce groupe. En mai 2023, les opérateurs ont rebaptisé leur infrastructure BlackSuit sans changement majeur dans leurs TTPs ni leur base d’affiliés. BlackSuit représente donc la continuité opérationnelle directe de Royal, avec le même code de chiffrement partiellement remanié et les mêmes cibles prioritaires dans les secteurs santé, éducation et infrastructures critiques.

Comment obtenir une clé de déchiffrement BlackSuit après l’Opération Checkmate ?

Les victimes de BlackSuit ou Royal Ransomware n’ayant pas payé doivent contacter le FBI via le portail ic3.gov en décrivant leur incident, ou s’adresser au CERT-FR (cert.ssi.gouv.fr/contact) pour les entités françaises. Des clés de déchiffrement issues des serveurs saisis sont également disponibles sur le portail No More Ransom. Munissez-vous d’un échantillon de fichier chiffré et de la note de rançon pour identifier précisément la variante du malware et obtenir la clé adéquate.

Quels étaient les indicateurs de compromission (IoC) de BlackSuit Ransomware ?

Les principaux IoC de BlackSuit incluaient : des connexions RDP ou VPN depuis des IPs russes ou ukrainiennes non habituelles, des exécutions de PsExec, Cobalt Strike ou SystemBC sur des serveurs Windows, des tâches planifiées inconnues créées avec des noms aléatoires, et la présence du fichier README.BlackSuit.txt sur les systèmes chiffrés. Le groupe utilisait systématiquement Veeam et les snapshots VSS pour effacer les sauvegardes avant le chiffrement final.

Article suivant recommandé

GlassWorm utilise Solana comme C2 pour son RAT furtif →

GlassWorm utilise la blockchain Solana comme dead drop C2 et cible pour la première fois l'écosystème MCP, rendant son R

Sources et références

Conclusion

Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.

Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.

Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.