De Duitse politie heeft in samenwerking met Europol, de FBI en andere politiediensten servers van een ransomwaregroep genaamd BlackSuit/Royal in beslag genomen. Hierbij zijn volgens de autoriteiten grote hoeveelheden gegevens veiliggesteld, die nu worden geanalyseerd om de verantwoordelijken te identificeren. De in beslag genomen servers werden gebruikt voor de verspreiding van de ransomware, het hosten van de 'leksite' van de groep en communicatie. Technische details over de operatie, zoals hoe de servers werden gevonden, zijn niet gegeven. Veel leksites van ransomwaregroepen maken gebruik van het Tor-netwerk om hun werkelijke ip-adres te verbergen.

De Duitse autoriteiten stellen dat BlackSuit/Royal, net als veel andere ransomwaregroepen, een 'Double Extortion' tactiek hanteert. Bij slachtoffers worden bestanden zowel gestolen als versleuteld. Wanneer er geen losgeld wordt betaald dreigen de aanvallers de gegevens via hun eigen leksite openbaar te maken. De groep zou de afgelopen jaren honderden slachtoffers hebben gemaakt en daarbij voor meer dan vijfhonderd miljoen dollar schade hebben veroorzaakt. Onder andere softwarebedrijf CDK Global werd slachtoffer en zou miljoenen dollars losgeld hebben betaald.

Eind 2023 liet de FBI weten dat de Royal-groep vooral via phishingmails toegang tot systemen van organisaties wist te krijgen. Twee derde van de aanvallen zou door middel van phishing plaatsvinden, gevolgd door aanvallen via het remote desktop protocol (RDP). Zodra de aanvallers eenmaal toegang hebben volgen ze de standaard werkwijze van ransomwaregroepen, waarbij er lateraal door het netwerk wordt bewogen en voor de uitrol van de ransomware gegevens worden gestolen.