%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. 【ブログ】BlackSuitランサムウェア・グループが大規模攻撃を実行中(6/28)

【ブログ】BlackSuitランサムウェア・グループが大規模攻撃を実行中(6/28)

  • LINEで送る
  • このエントリーをはてなブックマークに追加
【ブログ】BlackSuitランサムウェア・グループが大規模攻撃を実行中(6/28)

脅威インテリジェンスサービスCognyteは、ダークウェブTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。

 Cognyte CTI Research Group@Cognyte | 2024年6月

 

ランサムウェア・グループ「BlackSuit」(ブラックスーツ)が関与する大企業へのサイバー攻撃が報じられています。
本記事では当該の事案についてではなく、脅威アクターやマルウェア、他のランサムウェア・グループ(RoyalおよびConti)との関連に焦点を当てて紹介します。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

 

直近の被害

6月9日、我が国の大手動画配信・メディア企業に対するサイバー攻撃の発生が報じられました。その後、傘下のWebサイトや動画配信サービスにおける障害が継続しています。
6月27日、BlackSuitは当該企業に関する情報や窃取したと称するデータをリークサイトに掲載しました。

日系企業に対する脅迫文 出典:Cognyte Luminer大手動画配信・メディア企業に対する脅迫 出典:Cognyte Luminar

また2024年6月19日、北米で自動車ディーラー向けSaaSプラットフォームを提供するCDK Globalが大規模なシステム障害に見舞われたことが報じられました。
当該プラットフォームは経理や給与、在庫管理、CRMといった機能を統合的に管理するものであり、米国で1万5千以上のディーラーに利用されています。

CDK Globalはセキュリティ・インシデントに関する追加情報を開示しませんでしたが、攻撃の背後にBlackSuitランサムウェアがいるのではないかという推測がBleeping Computer誌によって報じられました。ニュースによれば、CDK Globalは身代金を支払う見返りに、復号キーを入手し流出データの公開を阻止できるようランサムウェア・グループと交渉しているとのことです。

本記事作成時点(2024年6月26日)では、CDK Globalの情報はBlackSuitランサムウェアのリークサイトには掲載されていませんが、おそらく当該企業がグループと交渉をしているためと考えられます。

 

 

BlackSuitランサムウェア

BlackSuitランサムウェアは2023年5月に初めて活動が確認されたグループです。複数のセキュリティ専門家が、悪名高いContiランサムウェア(活動停止)の後継であるRoyalランサムウェアとの類似性を指摘しています。

このランサムウェアは二重恐喝として知られる戦術を採用しており、WindowsおよびVMWare ESXi仮想マシンを含むLinuxプラットフォームを標的とし、AESアルゴリズムを利用し侵害したネットワーク内のファイルを暗号化します。この際、効率性および高速性を実現するため、OpenSSL AESによる断続的暗号化を用いています。
暗号化されたファイルには「.blacksuit」の拡張子が付与され、デスクトップの壁紙変更とともに「README.Blacksuit.txt」というランサムノートをディレクトリに配置します。ランサムノートには被害組織ごとの固有IDと合わせてTorチャットへのリンクが記載されます。
運用グループはダークウェブ上で恐喝・リークサイトを運営しており、身代金支払いの圧力をかける戦術を採用しています。

BlackSuitグループには著名なアフィリエイト(構成員)はおらずプライベートで運用されているため、RaaSビジネスモデルには該当しません。
グループの構成員はRoyalランサムウェアおよびContiランサムウェアとの関連が推測されており、非常に高度な技術を持っています。Royal、Contiともに洗練された組織システム、ビジネスモデル、高度なエンジニアを保有していたグループとして知られています。

2023年11月6日、米国保健福祉省傘下のサイバーセキュリティ機関Health Sector Cybersecurity Coordination Center (HC3)がBlackSuitランサムウェアに関する注意喚起を公開しました。HC3のアナリストは、BlackSuitの主要な活動手段を次のとおり記載しています。

  • 悪性メールを通じた拡散 - サイバー犯罪者は悪性リンクや悪性マクロを添付したメールを通じてBlackSuitランサムウェアを拡散します。添付ファイルを開き、マクロを有効化した場合ランサムウェアが実行されます。
  • Torrentサイト - P2Pネットワークを通じてやり取りされるtorrentファイルにも埋め込まれます。ユーザーがファイルをダウンロードし開くと、ランサムウェアに感染します。
  • 悪性広告(マルバタイジング - 悪性広告によりランサムウェアを拡散します。ユーザーが広告をクリックすると悪性サイトにリダイレクトされ、自動的にランサムウェアをダウンロードし実行します。
  • トロイの木馬 - ランサムウェアを含む他のプログラムをダウンロードしインストールするトロイの木馬等を通じて攻撃を行います。トロイの木馬はフィッシングメールや偽アップデート、侵害されたWebサイト等を通じて拡散されます。

 

RoyalおよびContiとの関連性

BlackSuitランサムウェアの解析結果は、当該ランサムウェアとRoyalランサムウェア・ファミリーとの類似性を示しています。Royalは、活動停止したグループContiのメンバーが関与していると推測されています。
BlackSuitランサムウェアのx64 VMWare ESXi対応型を解析した専門家によれば、Royalランサムウェア・プログラムと酷似しており、バイナリファイル比較ツールBinDiffにおいては関数、ブロック、分岐の各項目で95%以上の一致が確認されました。Windows対応型においても同様に99%同一のバイナリであることが判明しています。

BlackSuit、Royalともにファイル暗号化にOpenSSL AESを利用していますが、BlackSuitには独自の引数も追加されています。

Royalランサムウェアは現在活動の様子が見られないため、BlackSuitランサムウェアはRoyalの後継であると推測することが可能です。

 

 

推奨策

Cognyteは、BlackSuitランサムウェアの攻撃を阻止するために以下の対策を推奨します。

  • リモートからアクセスできる機器の把握と運用見直し
  • 端末や通信機器・ソフトウェアの最新バージョンへのアップデート
  • 定期的なバックアップ
  • 攻撃を受けた際のインシデント対応計画の策定と運用
  • 悪性メール、Torrentサイト、悪性広告に対する防止策の実施
  • 以下に示すIoCの適用

IoC:

型式 補足
MD5 2902e12f00a185471b619233ee8631f3  
SHA-1 7e7f666a6839abe1b2cc76176516f54e46a2d453  
SHA-256 b57e5f0c857e807a03770feb4d3aa254d2c4c8c8d9e08687796be30e2093286c  
MD5 4f813698141cb7144786cdc6f629a92b  
SHA-1 69feda9188dbebc2d2efec5926eb2af23ab78c5d  
SHA-256 4d7f6c6a051ecb1f8410243cd6941b339570165ebcfd3cc7db48d2a924874e99  
MD5 748de52961d2f182d47e88d736f6c835 Windows Executable
SHA-1 30cc7724be4a09d5bcd9254197af05e9fab76455 Windows Executable
SHA-256 90ae0c693f6ffd6dc5bb2d5a5ef078629c3d77f874b2d2ebd9e109d8ca049f2c Windows Executable
MD5 9656cd12e3a85b869ad90a0528ca026e Linux Executable
SHA-1 861793c4e0d4a92844994b640cc6bc3e20944a73 Linux Executable
SHA-256 1c849adcccad4643303297fb66bfe81c5536be39a87601d67664af1d14e02b9e Linux Executable
SHA-256 6ac8e7384767d1cb6792e62e09efc31a07398ca2043652ab11c090e6a585b310  
MD5 02a2abdb27a64b107fe7e0f8712e127c  
SHA-1 b03ef11ffbe17a0facf29cb9c4578ae3c2ab8d8a  
SHA-256 7c8fb135ada2fcc6f50e2acdd6a32643f8e0eaa78152bc26cff027be9f66e2b4  
MD5 87adb14271dc49e6b0f2eb4b03f4bbe7  
SHA-1 76215e7047773dd05b8af8e96689b2fe7e7b2ffc  
SHA-256 06abc46d5dbd012b170c97d142c6b679183159197e9d3f6a76ba5e5abf999725  
MD5 1feee7319f7a656080be51b6e7267764  
SHA-1 cb4c1fb16e11d7cb7efc5ee585110bda6e2317fb  
SHA-256 09a79e5e20fa4f5aae610c8ce3fe954029a91972b56c6576035ff7e0ec4c1d14  

参考ソース:


記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

  • LINEで送る
  • このエントリーをはてなブックマークに追加