米国国土安全保障省(DHS)は、RoyalおよびBlackSuitランサムウェアの運営に関与するサイバー犯罪集団が、先月摘発されるまでに数百社の米国企業に侵入していたと発表しました。
DHSの主要な捜査機関である国土安全保障調査局(HSI)は、国際的な法執行機関と協力してグループのインフラを摘発したことを明らかにし、サイバー犯罪者たちは被害者から3億7,000万ドル以上を集めていたとも付け加えました。
「2022年以降、RoyalおよびBlackSuitランサムウェアグループは、米国内で確認されているだけでも450以上の被害者を出しており、医療、教育、公共安全、エネルギー、政府部門などが含まれます」とHSIは木曜日のプレスリリースで述べました。
「両グループを合わせると、現時点の暗号通貨評価で3億7,000万ドル以上の身代金を受け取っています。ランサムウェアの手口はダブルエクストーション戦術を用いており、被害者のシステムを暗号化しつつ、盗んだデータの公開をちらつかせてさらなる支払いを強要していました。」
米国司法省は7月24日、法執行機関がBlackSuitのダークウェブ恐喝ドメインを押収し、グループのリークサイトの内容を押収バナーに差し替えたことを確認しました。これは「オペレーション・チェックメイト」と名付けられた国際共同作戦の一環です。
これら2つのランサムウェア作戦の背後にいるサイバー犯罪グループは、2022年1月にQuantumランサムウェアとして登場し、悪名高いContiサイバー犯罪組織の後継と考えられていました。当初は他グループ(ALPHV/BlackCatなど)の暗号化ツールを使っていましたが、その後独自のZeon暗号化ツールを開発し、2022年9月にRoyalランサムウェアとしてリブランディングしました。
2023年6月、テキサス州ダラス市を標的にした後、およびBlackSuitと呼ばれる新しい暗号化ツールをテストした後、Royalランサムウェア集団はBlackSuitブランドに切り替えました。
CISAとFBIは、2023年11月の共同勧告で、RoyalとBlackSuitが類似した手口を共有していることを確認し、Royalランサムウェア集団が2022年9月以降、世界中で350以上の組織を標的にし、2億7,500万ドルを超える身代金を要求したことを明らかにしました。
その後、両機関による2024年8月の共同勧告では、RoyalランサムウェアがBlackSuitへリブランディングし、登場から2年以上で被害者に5億ドル以上の身代金を要求したことが確認されました。
Chaosランサムウェアへのリブランディング
BlackSuitのインフラが解体されて以来、Cisco Talos脅威インテリジェンス研究グループは、BlackSuitランサムウェア集団が今後Chaosランサムウェアとして再びリブランディングする可能性を示唆する証拠を発見しました。
サイバー犯罪者たちの新たなランサムウェア・アズ・ア・サービス(RaaS)事業は、すでにダブルエクストーション攻撃と関連付けられており、音声ベースのソーシャルエンジニアリングを使ってアクセスを得て、ローカルおよびリモートストレージの両方を標的とする暗号化ツールを展開し、最大限の被害を与えています。
「Talosは、新しいChaosランサムウェアは以前のChaosビルダー生成型バリアントとは無関係であり、グループが同じ名前を使って混乱を招こうとしていると考えています」と研究者らは述べています。
「Talosは、中程度の確信をもって、新しいChaosランサムウェアグループはBlackSuit(Royal)ランサムウェアのリブランディング、またはその元メンバーによって運営されていると評価しています。
「この評価は、暗号化コマンド、身代金メモのテーマや構成、攻撃におけるLOLbinやRMMツールの使用など、TTP(戦術・技術・手順)の類似性に基づいています。」
