コンテンツにスキップするには Enter キーを押してください

BlackSuitランサムウェアグループのダークウェブサイトが「オペレーション・チェックメイト」で押収

投稿日 2025年7月25日

BlackSuitのダークウェブ上のデータ漏洩サイトおよびプライベート交渉パネルが、大規模な法執行機関による作戦とみられる活動でオフラインとなりました。

7月24日、通常はThe Onion Router(TOR)経由でアクセス可能だったランサムウェアグループの主要サイトには、「このサイトは国際的な法執行機関による調査の一環として、米国国土安全保障調査局によって押収されました」と記載されたバナーが表示されました。

Seizure banner appearing when a user tries to reach BlackSuit’s data leak site. Source: Infosecurity Magazine
BlackSuitのデータ漏洩サイトにアクセスしようとした際に表示される押収バナー。出典:Infosecurity Magazine

執筆時点では公式声明は出ていませんが、このバナーから「オペレーション・チェックメイト」と呼ばれるこの取り組みには、米国司法省(DoJ)および9カ国16の法執行機関が関与していたことが分かります。

この国際連合には、米国、英国、ウクライナ、ラトビアに加え、Europolや、ルーマニアと米国に拠点を置く民間サイバーセキュリティ企業Bitdefenderも含まれていました。

ContiからRoyalを経てBlackSuitへ:BlackSuitとは

BlackSuitは2023年5月に登場したランサムウェアグループで、ランサムウェア追跡サイトRansomware.liveによると、被害者は184件に上ります。

BlackSuit's victims per month (2023–2025). Source: Ransomware.live
BlackSuitの月別被害者数(2023~2025年)。出典:Ransomware.live

このグループは、Royalランサムウェアギャングからのリブランドと考えられており、Royal自体も悪名高いContiグループの後継者でした。

Contiランサムウェアグループは2019年12月から2022年6月の解散まで活動し、積極的な戦術と大規模な攻撃で知られていました。中でも2022年のコスタリカ政府システムへの大規模サイバー攻撃が有名です。

Conti解散後、そのメンバーは複数の派閥に分かれ、一部は2022年初頭にRoyalランサムウェアグループを結成しました。Royalは、2023年5月のダラス市への攻撃など、米国の都市を標的としたことで悪名を高め、行政サービスの混乱や1テラバイト超のデータ流出を引き起こしました。

2023年5月、RoyalはBlackSuitと呼ばれる新しい暗号化ツールのテストを開始し、グループのリブランドにつながりました。サイバー脅威インテリジェンスの専門家によると、BlackSuitのツールはグループメンバーのみが使用しており、ランサムウェア・アズ・ア・サービス(RaaS)モデルは採用していないと見られています。

BlackSuitは設立以来、いくつかの大規模なサイバー攻撃に関与しています。2024年4月にはOctapharma Plasmaを攻撃し、米国内160以上の血漿提供センターの業務を妨害したと報じられています。

2024年6月には、北米の約15,000の自動車ディーラーにソフトウェアを提供するCDK Globalを標的とし、広範な業務混乱と10億ドルの損失を引き起こしました。

また、ZooTampa、ブラジル政府、西部地方建設会社などの組織への攻撃にも関与しているとされています。

BlackSuitは、被害者のデータを暗号化し、身代金が支払われない場合は公開すると脅す「二重脅迫」などの高度な戦術を用いています。また、正規のリモート監視・管理ソフトウェアを利用して、被害者ネットワークへの持続的なアクセスを維持することも観察されています。

米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が2024年8月に発表したセキュリティ勧告によると、BlackSuitの身代金要求額は通常100万ドルから1,000万ドルのビットコインで、最高額は6,000万ドルに達したとされています。

BlackSuitは、活動開始から2年で被害者から5億ドル超の要求を行ったと報じられています。

Chaos:BlackSuitのリブランドか

BlackSuitのインフラの一部が押収されたと報じられているものの、グループのメンバーは逮捕されておらず、すでに別のランサムウェア事業に移行している可能性もあります。

7月24日にCisco Talosが発表したレポートによると、新たに出現したランサムウェアグループ「Chaos」は、BlackSuitのメンバーによって設立された可能性が高いとされています。

「Talosは、中程度の確信をもって、新しいChaosランサムウェアグループはBlackSuit(Royal)ランサムウェアのリブランド、またはその元メンバーによって運営されていると評価しています」とレポートは述べています。

この評価は、暗号化コマンド、身代金要求メモのテーマや構造、LOLbinsやリモート監視管理(RMM)ツールの使用など、手法・戦術・手順(TTPs)の類似性に基づいています。

オペレーション・チェックメイトには、米国シークレットサービス、オランダ国家警察、ドイツ連邦刑事警察庁、英国国家犯罪対策庁(NCA)、フランクフルト検察庁、ウクライナサイバー警察なども関与していたと報じられています。

InfosecurityはNCAおよびDoJに問い合わせを行いましたが、執筆時点でどちらの機関も押収について公式に確認していません。

翻訳元: https://www.infosecurity-magazine.com/news/blacksuit-ransomware-sites-seized/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です