ブランドを一新してイメージチェンジ？ランサムウェアの「リブランド」

ランサムウェア攻撃集団の名前がコロコロ変わる？

ランサムウェア攻撃のニュースが流れるとその攻撃集団についても紹介されます。例えばLockBitなどあまたあるわけですが、それらの集団の多くは突如として現れたわけではございません。

実は、既存のグループが「リブランド」、すなわち、分散・集合の結果、新たなグループ名を名乗って登場することが多いんです。

ここでは、ランサムウェア「Royal」が「BlackSuit」にリブランドした例を

今回は、ランサムウェアのリブランドの意味と、その具体例であるRoyalからBlackSuitへの転換について次の記事を参考にまとめてみます～。

CISA, FBI warn that Royal ransomware gang may rebrand as ‘BlackSuit’

ランサムウェアのリブランドとは？

リブランドとは、サイバー犯罪グループが新たな名前やツールを用いて活動を続けることを指します。

リブランドをを行う理由は次の通りです。

捜査の手から逃れるため

名前を変えれば、捜査機関も追跡しにくくなりますよね。リークサイトが閉鎖（テイクダウン）させられることで、新グループが作られることも多いです。

悪いイメージを払拭するため

Royalは、すでに悪名が高く、警戒している企業も多いはず。そこで、名前を変えてイメージを一新し、新たなターゲットを狙おうとしている可能性も考えられます。

グループ内のゴタゴタを隠すため

攻撃グループは、一枚岩ではありません。グループ内で対立や分裂が起きた結果、新しいグループができるんですね。

リブランドしたことはどうやってわかる？

Trend Microや他のサイバーセキュリティ研究者によると、BlackSuitとRoyalのコードには90%以上の類似性があり、これは同じグループによるリブランドの証拠と見なされています。

こうやって、リブランドかどうか推測するんですね。

ということでリブランドのお話でした～。