Royal ランサムウェア ギャングは、BlackSuit と呼ばれる新しい暗号化ツールのテストを開始しました。これは、この作戦の通常の暗号化ツールと多くの類似点があります。
ロイヤルは 2023 年 1 月に打ち上げられ、 2022 年 6 月に閉鎖された悪名高いコンティ事業の直接の後継者であると考えられています。
このグループは、侵入テスター、「Conti Team 1」の関連者、および企業をターゲットとする他のランサムウェア ギャングから採用した関連者で構成される民間のランサムウェア オペレーションです。
Royal Ransomware は、その開始以来、最も活発な活動の 1 つとなり、企業に対する数多くの攻撃を引き起こしています。
ロイヤルがBlackSuitのテストを開始
4 月下旬以来、 Royal ランサムウェア活動が新しい名前でブランド名を変更する準備をしているという噂が流れていました。 テキサス州ダラス市を攻撃した後、警察からの圧力を感じ始めてから、この事態はさらにエスカレートした。
5 月には、独自ブランドの暗号化ツールと Tor 交渉サイトを使用した新しい BlackSuit ランサムウェア オペレーションが発見されました。これは、Royal ランサムウェア グループがブランド名を変更するランサムウェア オペレーションであると考えられていました。
しかし、ブランド変更は行われず、Royal は限定的な攻撃で BlackSuit を使用しながら、依然として企業を積極的に攻撃しています。
「ロイヤル: コンティの直系の後継者で、コンティの「オールド ガード」から、またはさまざまなエリート ランサムウェア グループから採用された 60 人を超える侵入テスターで構成されています。彼らは 4 ~ 5 人の小さなチームで動作し、リーダーである管理者とチーフ エンジニアに忠実であり続けます。 」と RedSense のパートナー兼研究開発責任者である Yelisey Bohuslavskiy が LinkedIn に投稿しました。
「このグループは、プリカーサーとして Emotet と IcedID を備えた Royal および BlackSuit ロッカーを採用しています。彼らは、CobaltStrike の代替手段、特に Sliver を優先し、カスタム プリカーサー ローダーを開発しています。」
Bohuslavskiy氏はさらに、Royalが新しいローダー、IcedID、Emotetの復活など、同グループが使用している他のツールと同様に、単に新しい暗号化装置をテストしている可能性があると語った。
「彼らはEmotedを活性化するためにEmotedを改良し続けており、IcedIDにも熱心に取り組んでいます。新しいロッカーを使った彼らの実験は、この意味では自然なことです。」ボフスラフスキー氏は説明した。
「近いうちにブラックスーツのようなものがさらに多く見られるかもしれないと思います。しかし、これまでのところ、新しいローダーと新しいブラックスーツロッカーは両方とも失敗した実験だったようです。」
BlackSuit は自己完結型の作戦であるため、Royal が特定のタイプの被害者に焦点を当てたサブグループの立ち上げを計画しているか、あるいは後でブランドを変更するために保存されている可能性があります。
ソース:
しかし、 トレンドマイクロの最近のレポートでは、BlackSuit と Royal Ransomware 暗号化ツールの間に明らかな類似点が示されており、これらが新たなランサムウェア活動であることを誰にも納得させるのが難しいため、ブランド変更はもはや意味がありません。
これらの類似点には、コマンド ライン引数、コードの類似性、ファイルの除外、および同様の断続的な暗号化技術が含まれます。
BlackSuit がどのように使用されるかは不明ですが、このランサムウェアは少数の攻撃で積極的に使用されています。
は、これまでに BlackSuit 暗号化プログラムが使用され、身代金が 100 万ドル未満の攻撃が少なくとも 3 件発生していることを認識しています。
現在、この作戦のデータ漏洩サイトには被害者 1 名が掲載されていますが、新しい暗号化装置がより頻繁に使用された場合、状況はすぐに変わる可能性があります。
現時点では、BlackSuit が実際に失敗した実験なのか、それともConti が Diavol に対して行ったような新しいサブグループの始まりなのかを待つ必要があります。
結果が何であれ、ネットワーク防御者は、この新たな作戦が、ネットワークへの侵入や暗号化装置の展開に関する専門知識を持っていることが証明されているロイヤルによって支援されていることを知っておくべきです。
Comments