「ランサムウェアグループ「Blacksuit(ブラックスーツ)」を解説」
国内企業のデータセンターへのランサムウェア攻撃と関連して報道されているランサムウェア攻撃者グループ「BlackSuit(ブラックスーツ)」。同グループは23年後半から複数回の活動の活発化を観測しており、今後の動向が注目されています。
https://www.trendmicro.com/ja_jp/jp-security/24/g/expertview-20240716-01.html
出典:Trend Micro
<ランサムウェアグループの成り立ち>
ランサムウェアグループは、背後にいる組織の大規模なサーバテイクダウンやリーダーの摘発などに応じて、その組織が解体/分裂した場合に、再度メンバーが集合して名称が変更されたり、培われた攻撃技術やインフラなどを継承した別のランサムウェアグループが誕生する場合があります。
Blacksuitも同様にトレンドマイクロの過去のリサーチにおいて機能単位での類似性が98%を越えるなど、ランサムウェア「Royal」との関連性を確認しています。またRoyalはロシア系ランサムウェアグループ「Conti」の後続グループの一つと推測しています。
<Blacksuit(ブラックスーツ)の活動傾向>
Blacksuitは他の多くのランサムウェアグループと同じく、主に金銭獲得を目的に使用されており、2023年5月頃からその存在が確認されています。
2024年4月や2023年10月にも大きな検出数が見られることから、Blacksuitは不定期に活動を活発化するグループである可能性があります。
2024年に入ってからは特にヘルスケア関連組織における検出数が顕著であり、ヘルスケアに関連する組織のセキュリティ担当者はBlacksuitに対する防御施策を講じることを推奨しています。
またヘルスケア以外もITや製造業も上位ターゲットとなっており、上位に属する組織は、同様にBlacksuitランサムウェアに注意を払っておく必要があります。
<多方面の対策が必要>
・不正リンクやマクロを含むメール
・Torrent Website(映像や音楽を無料でダウンロードできるサイト)
・不正広告
・トロイの木馬
上記の従来からある一般的な攻撃のほか、VPN機器からの侵入、電話で情報を聞き出そうとするソーシャルエンジンニアリングの手法も用いられていたようです。
このようにBlacksuitの用いる攻撃手法は侵入型のランサムウェア攻撃で度々用いられる攻撃が採用されており、これだけやればよい、というわけではなく総合的な対策が必要です。
Eメール対策やWeb脅威対策、VPNの監視や管理、組織内のアクセス制御などが推奨されています。
KADOKAWAグループへのランサムウェア攻撃で一躍有名になったBlacksuitですが、実はヘルスケア関連組織への攻撃が多いのだそうです。
ヘルスケア関連の情報は身代金価値が高いということなのかもしれません。
メンバーの誰かが摘発されると、残りのメンバーで再集結して名前を変えて活動するというランサムウェアグループですが、メンバーが一斉に摘発されない限り撲滅とはならないようです。
日頃の個人のセキュリティ管理のほか、組織での監視や管理といったセキュリティの対策はこれからも重要になってくると思われます。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★