コンテンツにスキップするには Enter キーを押してください

BlackSuitランサムウェア摘発の詳細が明らかに

投稿日 2025年8月5日

BlackSuitの技術インフラは、先月、世界的に協調された摘発作戦によって押収され、当局はこれをサイバー犯罪との戦いにおける大きな打撃だと称賛しました。ランサムウェアグループのリークサイトは、7月24日以降、押収通知を表示しています。

この摘発は長期にわたる調査の結果であり、当局は「相当量のデータ」を押収し、184人の被害者を特定したと、ドイツ当局が先週ニュースリリースで述べました。グループの総恐喝要求額は2024年8月までに5億ドルを超え、要求額は通常100万ドルから1000万ドルの範囲だったと、サイバーセキュリティ・インフラストラクチャーセキュリティ庁が昨年の勧告で述べています。

米国当局もこの作戦に深く関与していましたが、調査やその結果についての詳細はまだ公表されていません。BlackSuitの恐喝サイトは、米国移民・関税執行局の一部門である国土安全保障省の国土安全保障調査部門によって押収されました。

ICEの広報担当者はCyberScoopに対し、「チェックメイト作戦」と呼ばれる法執行活動について情報を公開する前に、司法省が裁判所の文書が公開されるのを待っていると述べました。FBI、シークレットサービス、ユーロポール、イギリス、ドイツ、フランス、アイルランド、ウクライナ、リトアニアのサイバー当局、そしてルーマニアに拠点を置くサイバーセキュリティ企業Bitdefenderもこの作戦に参加していました。

ドイツ当局によると、この摘発によりマルウェアの拡散が防止され、BlackSuitのサーバーや通信が妨害されました。Bitdefenderはブログ記事で、摘発前のBlackSuitのデータリークサイトには150件以上のエントリーがあったと述べています。

Bitdefenderによれば、BlackSuitの被害者の大多数は米国に拠点を置き、最も影響を受けた業界は製造業、教育、医療、建設でした。同社はコメントの要請には応じませんでした。

かつてBlackSuitは継続的な攻撃で大きな注目を集めていましたが、研究者によれば、ランサムウェアグループの活動は12月から大幅に減少し、先月インフラが妨害されるまで低調なままでした。

BlackSuitの関係者は、グループの活動に対する世界的な法執行措置の前にすでに分散していました。

RedSenseの共同創設者でパートナーのYelisey Boguslavskiy氏はCyberScoopに対し、摘発の影響は限定的であると述べました。なぜなら、メンバーは今年初めにすでにBlackSuitブランドを放棄していたからです。

Boguslavskiy氏によれば、BlackSuitの評判は、被害者が同グループのロシア系サイバー犯罪の系譜を知り、財務省外国資産管理局による制裁を回避することを恐れて恐喝要求の支払いを拒否したことで急落しました。

その転換の一環として、元BlackSuitメンバーは今年、主にINCランサムウェアとその関連インフラを使用しています。

「彼らが摘発に向けて明確に準備していたわけではありません。むしろ、ブランド疲れを感じていただけです」とBoguslavskiy氏は述べています。「彼らは頻繁にリブランディングする傾向があります。2年間リブランディングしていなかったので、そろそろだと感じていました。その間、彼らは荷物のない新しい名前としてINCを使っていました。」

BlackSuitは、Contiランサムウェアグループの内部メッセージの大規模なリークによる2022年の分裂後に登場しました。ロシア語圏のランサムウェア集団のメンバーは、Zeon、Black Basta、Quantumの3つのサブグループにリブランディングし、QuantumはすぐにRoyalにリブランディング、さらに2024年に再びBlackSuitにリブランディングしました。

Boguslavskiy氏は、INCの台頭は「ロシア語圏のランサムウェア界で最も重要な動きであり、今やBlackSuitが彼らのインフラをさらに活用することは非常に懸念される」と述べています。

このランサムウェアシンジケートは約40人で構成されており、「Stern」と呼ばれる人物が指導者で、他のランサムウェアグループ(AkiraALPHVREvilHiveLockBitなど)とも関係を持つ分散型集団を形成しています。

現在、INCはDragonForceに次ぐロシア語圏で2番目に大きなランサムウェア集団だと彼は述べています。

BlackSuitは非常に活発で、Sophos Counter Threat Unitの研究者によれば、2023年5月以降、専用リークサイトで180人以上の被害者を主張していました。

ランサムウェアグループの主要メンバーは、容易にリブランディングし、活動を再開する能力を示しています。「この最新の摘発が、背後にいる人物たちが新たな名の下で再編成する能力に与える影響は最小限である可能性が高い」とSophos CTUは調査メモで述べています。

BlackSuitの元メンバーは、早くも2月には新たなランサムウェアグループ「Chaos」として登場したと、Cisco Talos Incident Responseの研究者がBlackSuitの技術インフラが押収されたのと同じ日にブログ記事で述べています。Talosによれば、Chaosの標的は機会主義的で、被害者は主に米国に拠点を置いています。

FBIは4月、Chaosランサムウェアグループのメンバーが管理していたとされる暗号通貨を押収したと、司法省が先月、暗号通貨の没収を求める民事訴訟で述べました。関係者によれば、押収された暗号通貨は4月中旬の時点で170万ドル以上の価値があったとのことです。

翻訳元: https://cyberscoop.com/blacksuit-ransomware-takedown/

Published in cyberscoop-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です