BlackSuitランサムウェアのリークサイト、Operation Checkmateで押収

法執行機関は、過去数年間にわたり世界中の数百の組織のネットワークを標的にし、侵害してきたBlackSuitランサムウェアオペレーションのダークウェブリークサイトを押収しました。

米国司法省は本日早くにメールでこの摘発を認め、関係当局が裁判所の許可を得てBlackSuitのドメインを押収したと述べました。

本日早く、BlackSuitの.onionドメイン上のウェブサイトは、ランサムウェア集団のサイトが米国国土安全保障調査局（HSI）によって押収されたことを告知するバナーに置き換えられました。この措置は「Operation Checkmate」と呼ばれる国際合同作戦の一環です。

「このサイトは、国際的な法執行機関による協調的な捜査の一環として、米国国土安全保障調査局によって押収されました」とバナーには記載されています。

この合同作戦には、米国シークレットサービス、オランダ国家警察、ドイツ州刑事警察局、英国国家犯罪庁、フランクフルト検察庁、司法省、ウクライナサイバー警察、ユーロポールなど、他の法執行機関も参加しました。

ルーマニアのサイバーセキュリティ企業Bitdefenderもこの作戦に関与しましたが、BleepingComputerが本日詳細を問い合わせたところ、広報担当者からはまだ返答がありません。

Chaosランサムウェアへのリブランド

木曜日、Cisco Talos脅威インテリジェンス研究グループは、BlackSuitランサムウェア集団が再びChaosランサムウェアとしてリブランドする可能性を示唆する証拠を発見したと報告しました。

「Talosは、新たなChaosランサムウェアグループがBlackSuit（Royal）ランサムウェアのリブランド、またはその元メンバーによって運営されていると中程度の確信を持って評価しています」と研究者は述べています。

「この評価は、暗号化コマンド、身代金要求メモのテーマや構造、攻撃時にLOLbinsやRMMツールを使用していることなど、TTP（戦術・技術・手順）の類似点に基づいています。」

BlackSuitは2022年1月にQuantumランサムウェアとして始まり、悪名高いContiサイバー犯罪シンジケートの直接の後継者であると考えられています。当初は他の集団（ALPHV/BlackCatなど）の暗号化ツールを使用していましたが、まもなく自前のZeon暗号化ツールを展開し、2022年9月にRoyalランサムウェアとしてリブランドしました。

2023年6月、テキサス州ダラス市を標的にした後、Royalランサムウェア集団は新たな暗号化ツールBlackSuitのテストを経て、リブランドの噂の中でBlackSuitという名称で活動を始めました。

CISAとFBIは、2023年11月の合同勧告で、RoyalとBlackSuitが類似した戦術を共有し、暗号化ツールにも明らかなコードの重複があることを初めて明らかにしました。同じ勧告では、Royalランサムウェア集団が2022年9月以降、世界中で350以上の組織を標的にし、2億7500万ドルを超える身代金を要求したとされています。

両機関は2024年8月に、RoyalランサムウェアがBlackSuitにリブランドし、過去2年以上で被害者から5億ドル以上を要求していたことを確認しました。