貴社はBlacksuit ランサムウェア攻撃から安全ですか？

Blacksuit由来

Blacksuit 、2023年4月上旬から5月にかけて出現した民間のランサムウェア／恐喝グループである。このグループはRoyal Ransomwareと様々な類似点を共有しており、専門家はBlacksuit 以前のグループのスピンオフまたはリブランディングではないかと推測している。

Royal Ransomwareは、それ自体がContiのリブート版であり、重要インフラセクターに対する高度に標的を絞った攻撃と、初期アクセスの取得、権限の昇格、検出の回避を行う高度な手法で悪評を得ました。

この基盤の上に、Blacksuit 洗練されたテクニックと恐喝への集中的なアプローチで遺産を受け継いでいるようで、同様の価値の高い産業をターゲットにし、被害者のネットワークを侵害し暗号化するために高度な戦術を活用している。

^{地図製作：}^OCD

ターゲット

Blacksuitスーツのターゲット

Blacksuit対象国

BlackSuitは世界規模で事業を展開しており、以下の地域で重要な活動が報告されています。

北米:特に米国とカナダ。
ヨーロッパ:イタリアと英国での注目すべき事件を含む。
アジア: 韓国では複数の攻撃が報告されています。
南米:ブラジルは、この地域で注目すべきターゲットです。

^ソース:^SOCradar

Blacksuit対象産業

SOCradarによると、Blacksuit 主に以下の業界をターゲットにしている：

教育サービス(22.7%):これは、教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)を含む。

Blacksuit対象産業

SOCradarによると、Blacksuit 主に以下の業界をターゲットにしている：

教育サービス(22.7%):これは、教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)を含む。

Blacksuitスーツの犠牲者

Blacksuit 96人以上の被害者を標的にしていた。Blacksuit 被害者として有名なのは、大手教育機関、政府機関、建設会社、専門サービス会社、医療プロバイダーなどである。このような攻撃は、しばしば重大な業務妨害やデータ漏洩を引き起こす。

^画像:^{ransomware.live}

攻撃方法

Blacksuitスーツの攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Blacksuit 、キーロガー、クレデンシャル・ダンピング・ツール、ブルートフォース攻撃を使ってユーザー名とパスワードを収集する。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

Blacksuit 、被害者に身代金の支払いを迫るため、機密データを収集し、流出させる。これには多くの場合、財務データ、個人情報、独自のビジネス情報などが含まれる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。

初期アクセス

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

特権エスカレーション

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

防御回避

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

クレデンシャル・アクセス

Blacksuit 、キーロガー、クレデンシャル・ダンピング・ツール、ブルートフォース攻撃を使ってユーザー名とパスワードを収集する。

ディスカバリー

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

横の動き

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

コレクション

Blacksuit 、被害者に身代金の支払いを迫るため、機密データを収集し、流出させる。これには多くの場合、財務データ、個人情報、独自のビジネス情報などが含まれる。

実行

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

データ流出

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

インパクト

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。

MITRE ATT&CK マッピング

BlacksuitスーツのTTP

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

プラットフォーム検出

よくあるご質問(FAQ)

Blacksuit ランサムウェアとは？

Blacksuit 、重要なインフラ部門を標的とし、被害者のネットワークを侵害し暗号化するために高度な戦術を用いることで知られるランサムウェアグループである。

Blacksuit 通常、どのようにしてネットワークへの最初のアクセスを得るのですか？

多くの場合、フィッシングメールを使用し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを送信します。

Blacksuit最も頻繁にターゲットにしている業界は？

教育サービス、行政、建設、専門・技術サービス、卸売業、製造業が主なターゲットです。

Blacksuit 特権の昇格にどのようなテクニックを使っていますか？

彼らはソフトウェアの脆弱性を悪用し、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

Blacksuit どうやって発見を逃れるのか？

セキュリティツールの無効化、コードの難読化、信頼できるシステムプロセスの活用などの手法を使用します。

Blacksuit 、クレデンシャル・アクセスにどのような方法を使用していますか？

彼らは、キーロガー、クレデンシャルダンプツール、およびブルートフォース攻撃を採用しています。

Blacksuit ネットワーク内でどのように横の動きをするのか？

正規の管理ツールと侵害された資格情報を使用して、追加のシステムにアクセスする。

Blacksuit 流出させるデータの種類は？

財務データ、個人情報、および専有ビジネス情報は、一般的に盗み出されます。

Blacksuit どのようにしてランサムウェアのペイロードを実行するのか？

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

Blacksuit有効な防御策は？

強力なフィッシング防御、定期的な脆弱性パッチ適用、強固なクレデンシャル管理、拡張検出およびレスポンス (XDR) ソリューションの導入は極めて重要である。