米国当局は、多くの被害者を出しているランサムウェアグループを撹乱するための大規模な法執行作戦の詳細を明らかにし、その中には被害者から盗まれた資金の押収も含まれていることが分かりました。
司法省(DoJ)は今週、BlackSuitグループが使用していたと考えられる4つのサーバーと9つのドメインの摘発につながる行動を調整したと発表しました。
また、BlackSuitの被害者から盗まれた暗号通貨、当時約110万ドル相当の押収令状も公開しました。これは2023年4月に支払われた43ビットコイン(当時140万ドル相当)の身代金に関連していると、司法省は説明しています。
これらの資金のうち約110万ドルが、暗号通貨取引所の口座に「繰り返し入金・出金」されていましたが、2024年1月にその取引所によって凍結されたと説明されています。
この押収はこれまで秘密にされていましたが、オペレーション・チェックメイトに先立つものであり、米国主導の世界的な法執行イニシアチブによってランサムウェアグループの撹乱が図られました。
BlackSuitについてさらに読む:Royalランサムウェア集団、1年で2億7500万ドルを要求
この司法省主導の作戦には、国土安全保障省の国土安全保障調査局(HSI)、米国シークレットサービス、IRS犯罪捜査部(IRS-CI)、FBI、英国国家犯罪庁(NCA)、およびドイツ、アイルランド、フランス、カナダ、ウクライナ、リトアニアの捜査官が参加しました。
その結果、2025年7月24日にドメインとサーバーが押収され、さらにグループがランサムウェアを展開し、被害者を恐喝し、収益を洗浄するために設計されたとみられる未特定の「デジタル資産」も押収されました。
「この行動は、我々がこの脅威に対して取っている先進的かつ撹乱を最優先するアプローチの好例です」と、米国連邦検事エリック・シーベルト氏は述べました。
「米国企業、重要インフラ、その他の被害者をランサムウェアやその他のサイバー脅威から守るために、我々は一切手を抜きません。」
Royalからのリブランディング
BlackSuitは2023年7月に「Royal」からリブランディングし、2022年9月から活動しており、現在は解散したContiグループとも関係があります。
米国サイバーセキュリティ・インフラストラクチャー安全局(CISA)の2024年8月の報告によると、これまでに被害者から5億ドル以上を要求したとされていますが、実際にどれだけ恐喝できたかは不明です。
BlackSuit/Royalは、重要な製造業、政府施設、医療機関、商業施設を頻繁に標的にしていたと司法省は述べています。
特に注目されたのは、2023年のダラス市への攻撃であり、複数のサーバーが侵害され、911通報システムを含む公共サービスに広範な混乱が生じました。
翻訳元: https://www.infosecurity-magazine.com/news/us-seize-1m-blacksuit-ransomware/