ラスベガス — BlackSuitおよびRoyalランサムウェアの背後にいるロシアのサイバー犯罪グループは、これまで知られていたよりも多くの被害者から身代金を強要し、成功を収めていたことが、木曜日に国土安全保障省の調査部門から発表された最新情報で明らかになりました。
「2022年以降、RoyalおよびBlackSuitランサムウェアグループは、米国内で医療、教育、公共安全、エネルギー、政府部門などを含む450以上の既知の被害者を侵害しました」と、米国移民・関税執行局(ICE)傘下の国土安全保障調査局(HSI)の報告書は述べています。「両グループは、現在の暗号通貨の価値で合計3億7,000万ドル以上の身代金を受け取っています。」
BlackSuitの技術インフラ(サーバー、ドメイン、ランサムウェアの展開・被害者への強要・収益洗浄に使われたツールなど)は、先月世界的に調整された摘発作戦で押収・解体されました。BlackSuitのリークサイトには7月24日以降、押収通知が表示されていますが、米国当局は国際的な摘発を公に認めるまで2週間待ちました。
「ランサムウェアのインフラを撹乱することは、単にサーバーを摘発するだけでなく、サイバー犯罪者が罰せられずに活動できる全体のエコシステムを解体することでもあります」と、HSIサイバー犯罪センター副所長のマイケル・プラド氏は声明で述べました。
摘発に関与したドイツ当局は、以前に184件のBlackSuit被害者を特定したと述べています。グループが被害者から得た総額は不明ですが、昨年の勧告で米国サイバーセキュリティ・インフラストラクチャー庁(CISA)は、BlackSuitの総強要要求額が2024年8月までに5億ドルを超えたと述べています。
「BlackSuitランサムウェア集団による米国重要インフラへの継続的な攻撃は、米国の公共安全に対する深刻な脅威です」と、国家安全保障担当司法次官補のジョン・A・アイゼンバーグ氏は声明で述べました。BlackSuitの被害者の大半は米国内に拠点を置いていました。
BlackSuitはかつて継続的な攻撃で大きな注目を集めていましたが、研究者によると、同グループの活動は昨年12月から大幅に減少し、先月インフラが撹乱されるまで低調な状態が続いていました。
RedSenseの共同創設者兼パートナーであるイェリセイ・ボグスラフスキー氏はCyberScoopに対し、「摘発による影響は限定的です。なぜなら、BlackSuitの関係者はすでに分散し、グローバルな法執行機関による摘発前にBlackSuitブランドを放棄していたからです」と述べました。
ボグスラフスキー氏によると、元BlackSuitメンバーは今年、主にINCランサムウェアおよびその関連インフラを使用しているとのことです。
BlackSuitは、Conti内部メッセージの大規模なリークによって2022年に分裂したContiランサムウェアグループから派生しました。ロシア語圏のランサムウェア集団のメンバーは、Zeon、Black Basta、Quantumの3つのサブグループに再編され、QuantumはすぐにRoyalにリブランドし、2024年に再びBlackSuitへとリブランドされました。
翻訳元: https://cyberscoop.com/blacksuit-royal-ransomware-450-us-victims/