Hacker in suit

CISAとFBIは本日、RoyalランサムウェアがBlackSuitに改名し、2年以上前に出現して以来、被害者に5億ドル以上を要求していることを確認した。

この新情報は、2023年3月に発表された共同勧告の更新として共有されたもので、それによるとBlackSuit一味は2022年9月から活動しているという。

しかし、この民間グループは悪名高いサイバー犯罪シンジケートContiの直接的な後継者であると考えられており、2022年1月にQuantumランサムウェアとして活動を開始した

当初は他のギャングの暗号化ツール(ALPHV/BlackCatなど)を使用していましたが、不要な注目を集めるのを避けるためか、すぐに独自のZeon暗号化ツールを導入し、2022年9月にRoyalにブランド名を変更しました。

2023年6月にテキサス州ダラス市を攻撃した後、Royal ランサムウェアの活動は、ブランド変更の噂の中、BlackSuit と呼ばれる新しい暗号化ツールをテストし始めました。それ以来、彼らはBlackSuitの名前で活動しており、Royalランサムウェアの攻撃は完全に停止している。

“BlackSuitランサムウェアは、これまでRoyalランサムウェアとして確認されていたランサムウェアの進化版であり、2022年9月頃から2023年6月頃まで使用されていました。BlackSuitは、Royalランサムウェアと多くのコーディング上の類似点を共有しており、機能が向上している」と、FBIとCISAは水曜日の勧告の更新で確認した。

「身代金の要求額は通常、約100万ドルから1,000万ドルで、ビットコインでの支払いが要求されている。BlackSuitの行為者は合計で5億米ドル以上を要求しており、個々の身代金要求額としては最大で6,000万米ドルであった。

2023年3月とそれに続く2023年11月の勧告更新で、両機関は侵害の指標と、ネットワーク上にランサムウェアを展開しようとする一団の試みを防御者が阻止するのに役立つ戦術、技術、手順(TTP)のリストを共有しました。

CISAとFBIはまた、2022年9月以来350以上の組織に対する攻撃と、少なくとも2億7500万ドルの身代金要求にBlackSuitギャングを関連付けました。

この共同勧告は、保健福祉省(HHS)のセキュリティチームが2022年12月、全米の医療機関を標的とした複数の攻撃の背後にランサムウェアの作戦があったことを明らかにした後に初めて出された。

最近では、北米全土の15,000以上の自動車ディーラーの業務を妨害したCDK Global ITの大規模な障害の背後に、BlackSuitランサムウェアの一味がいたことを複数の情報筋が伝えている。

先月の攻撃後、この広範囲に及ぶ機能停止により、CDKはインシデントを封じ込めるためにITシステムとデータセンターを停止せざるを得なくなり、自動車ディーラーはペンと紙に切り替えて、購入者が車を購入したり、すでに購入した車のサービスを受けたりすることが不可能になった。