BlackSuitランサムウェアグループのTorベースのリークサイトが、国際的な作戦の一環として法執行機関により押収されました。
2023年から活動しており、プライベートグループとして運営されていたBlackSuitは、サイバーセキュリティ企業や米国政府機関が昨年発表した通り、Royalランサムウェアのリブランドでした。
現在は、Operation Checkmateの一環として法執行機関に押収されたことを知らせるスプラッシュ画面が表示されており、BlackSuitの恐喝サイトには2025年7月時点で約200の被害者が掲載されていました。Royalは2023年11月までに350以上の組織を攻撃していました。
BlackSuitランサムウェア集団は、教育、政府、医療、IT、製造、小売など多くの業界の組織を標的とし、暗号化前にデータを盗み出し、それを恐喝の材料として利用していました。
BlackSuitはWindowsとLinuxの両方のシステムを標的とし、VMware ESXiサーバーを操作し、アクセス可能なドライブ全体のファイルを高速で暗号化、ファイルの復旧を妨げようとし、被害者にTorベースのサイトを通じてグループに連絡するよう指示する身代金メモを展開していました。
大企業や中小企業(SMB)を中心に標的としており、2024年8月までにグループが要求した身代金の総額は5億ドルを超えていたとCISAとFBIは述べています。個別の身代金要求額は100万ドルから6000万ドルの範囲でした。
BlackSuitのリークサイトが押収されたのと同時に、Cisco Talosは2025年初頭に初めて出現したChaosランサムウェアの分析を公開し、これがBlackSuitの新たな姿である可能性が高いと指摘しました。
「Talosは、中程度の確信をもって、新しいChaosランサムウェアグループはBlackSuit(Royal)ランサムウェアのリブランド、もしくはその元メンバーによって運営されていると評価しています」とセキュリティ企業は述べています。
広告。スクロールして続きを読む。
Talosによると、Chaosの暗号化コマンドはBlackSuitと似ており、身代金メモのテーマや構造も同様で、攻撃時にLiving-off-the-landバイナリやリモート管理ツールを使用する点も共通しています。
Talosは、攻撃中にChaosのオペレーターが暗号化プロセス用の特定の設定パラメータを使用し、ランサムウェアがローカルおよびネットワークリソースを選択的に暗号化するようにしていると説明しています。RoyalとBlackSuitもこの手法に依存していました。
ドイツ、リトアニア、オランダ、米国、英国、ウクライナの法執行機関が、Europolや民間サイバーセキュリティ企業とともにOperation Checkmateに参加しました。
関連記事: 英国のランサムウェア支払い禁止:大胆な戦略か危険な賭けか?
関連記事: Interlockランサムウェア攻撃への警告