Blacksuit
Blacksuit 、2023年4月初旬から5月にかけて出現した私的なランサムウェア/恐喝グループである。Royal Ransomwareと多くの類似点があることから、スピンオフまたはリブランディングの試みである可能性が示唆されています。

Blacksuit由来
Blacksuit 、2023年4月上旬から5月にかけて出現した民間のランサムウェア/恐喝グループである。このグループはRoyal Ransomwareと様々な類似点を共有しており、専門家はBlacksuit 以前のグループのスピンオフまたはリブランディングではないかと推測している。
Royal Ransomwareは、それ自体がContiのリブート版であり、重要インフラセクターに対する高度に標的を絞った攻撃と、初期アクセスの取得、権限の昇格、検出の回避を行う高度な手法で悪評を得ました。
この基盤の上に、Blacksuit 洗練されたテクニックと恐喝への集中的なアプローチで遺産を受け継いでいるようで、同様の価値の高い産業をターゲットにし、被害者のネットワークを侵害し暗号化するために高度な戦術を活用している。
地図製作: OCD
Blacksuit対象国
BlackSuitは世界規模で事業を展開しており、以下の地域で重要な活動が報告されています。
- 北米:特に米国とカナダ。
- ヨーロッパ:イタリアと英国での注目すべき事件を含む。
- アジア: 韓国では複数の攻撃が報告されています。
- 南米:ブラジルは、この地域で注目すべきターゲットです。
ソース: SOCradar
Blacksuit対象産業
SOCradarによると、Blacksuit 主に以下の業界をターゲットにしている:
- 教育サービス(22.7%):これは、教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
- 行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
- 建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
- その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)を含む。
Blacksuitスーツの犠牲者
Blacksuit 96人以上の被害者を標的にしていた。Blacksuit 被害者として有名なのは、大手教育機関、政府機関、建設会社、専門サービス会社、医療プロバイダーなどである。このような攻撃は、しばしば重大な業務妨害やデータ漏洩を引き起こす。
画像: ransomware.live
Blacksuitスーツの攻撃方法

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

Blacksuit 、キーロガー、クレデンシャル・ダンピング・ツール、ブルートフォース攻撃を使ってユーザー名とパスワードを収集する。

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

Blacksuit 、被害者に身代金の支払いを迫るため、機密データを収集し、流出させる。これには多くの場合、財務データ、個人情報、独自のビジネス情報などが含まれる。

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

Blacksuit 、キーロガー、クレデンシャル・ダンピング・ツール、ブルートフォース攻撃を使ってユーザー名とパスワードを収集する。

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

Blacksuit 、被害者に身代金の支払いを迫るため、機密データを収集し、流出させる。これには多くの場合、財務データ、個人情報、独自のビジネス情報などが含まれる。

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。
BlacksuitスーツのTTP
Vectra AIでBlacksuit 検知 する方法
よくあるご質問(FAQ)
Blacksuit ランサムウェアとは?
Blacksuit 、重要なインフラ部門を標的とし、被害者のネットワークを侵害し暗号化するために高度な戦術を用いることで知られるランサムウェアグループである。
Blacksuit 通常、どのようにしてネットワークへの最初のアクセスを得るのですか?
多くの場合、フィッシングメールを使用し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを送信します。
Blacksuit最も頻繁にターゲットにしている業界は?
教育サービス、行政、建設、専門・技術サービス、卸売業、製造業が主なターゲットです。
Blacksuit 特権の昇格にどのようなテクニックを使っていますか?
彼らはソフトウェアの脆弱性を悪用し、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。
Blacksuit どうやって発見を逃れるのか?
セキュリティツールの無効化、コードの難読化、信頼できるシステムプロセスの活用などの手法を使用します。
Blacksuit 、クレデンシャル・アクセスにどのような方法を使用していますか?
彼らは、キーロガー、クレデンシャルダンプツール、およびブルートフォース攻撃を採用しています。
Blacksuit ネットワーク内でどのように横の動きをするのか?
正規の管理ツールと侵害された資格情報を使用して、追加のシステムにアクセスする。
Blacksuit 流出させるデータの種類は?
財務データ、個人情報、および専有ビジネス情報は、一般的に盗み出されます。
Blacksuit どのようにしてランサムウェアのペイロードを実行するのか?
ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。
Blacksuit有効な防御策は?
強力なフィッシング防御、定期的な脆弱性パッチ適用、強固なクレデンシャル管理、拡張検出およびレスポンス (XDR) ソリューションの導入は極めて重要である。