あなたの組織はブラックスーツランサムウェア攻撃から安全ですか?

ブラックスーツの起源

Blacksuitは、2023年4月上旬から5月上旬に出現したプライベートランサムウェア/恐喝グループです。このグループはRoyal Ransomwareとさまざまな類似点を共有しており、専門家はBlacksuitが以前のグループのスピンオフまたはブランド変更である可能性があると推測しています。

Royal Ransomwareは、それ自体がContiのリブート版であり、重要インフラセクターに対する高度に標的を絞った攻撃と、初期アクセスの取得、権限の昇格、検出の回避を行う高度な手法で悪評を得ました。

この基盤の上に構築されたBlacksuitは、洗練された技術と恐喝への集中的なアプローチで遺産を引き継いでおり、同様の高価値産業を標的にし、高度な戦術を活用して被害者のネットワークを侵害して暗号化しています。

^{地図製作：}^OCD

ターゲット

ブラックスーツのターゲット

ブラックスーツの標的国

BlackSuitは世界規模で事業を展開しており、以下の地域で重要な活動が報告されています。

北米:特に米国とカナダ。
ヨーロッパ:イタリアと英国での注目すべき事件を含む。
アジア: 韓国では複数の攻撃が報告されています。
南米:ブラジルは、この地域で注目すべきターゲットです。

^ソース:^SOCradar

ブラックスーツが狙う業種

SOCradarによると、Blacksuitは主に次の業界をターゲットにしています。

教育サービス(22.7%):これは、教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)を含む。

ブラックスーツが狙う業種

SOCradarによると、Blacksuitは主に次の業界をターゲットにしています。

教育サービス(22.7%):これは、教育機関がランサムウェア攻撃に対して脆弱であることを反映して、最も標的にされているセクターです。
行政(13.6%):政府機関が頻繁に攻撃され、公共サービスに大きな混乱を引き起こしています。
建設業、専門職、科学・技術サービス業、卸売業、製造業(各9.1%):これらのセクターは、その重要な性質と混乱の影響が大きい可能性があるため、大きく標的にされています。
その他の産業:小売業、運輸・倉庫業、情報サービス、芸術、娯楽・娯楽、ヘルスケア、その他のサービス(それぞれ4.5%)を含む。

ブラックスーツの犠牲者

ブラックスーツは96人以上の被害者を標的にしました。Blacksuitの被害者として注目を集めているのは、大手教育機関、政府機関、建設会社、専門サービス会社、医療従事者などです。これらの攻撃は、多くの場合、重大な運用の中断とデータ侵害を引き起こします。

^画像:^{ransomware.live}

攻撃方法

ブラックスーツの攻撃方法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Blacksuitは、キーロガー、クレデンシャルダンプツール、ブルートフォース攻撃を使用して、ユーザー名とパスワードを収集します。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

Blacksuitは機密データを収集して盗み出し、被害者に身代金を支払うよう圧力をかけます。これには、多くの場合、財務データ、個人情報、および独自のビジネス情報が含まれます。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。

初期アクセス

Blacksuitは、多くの場合、フィッシングメールを通じて最初のアクセスを獲得し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを使用する。

特権エスカレーション

ネットワークに侵入すると、攻撃者は脆弱性を悪用して権限を昇格させ、多くの場合、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

防御回避

このグループは、セキュリティツールの無効化、難読化されたコードの使用、信頼できるシステムプロセスの活用など、検出を回避するためにさまざまな手法を採用しています。

クレデンシャル・アクセス

Blacksuitは、キーロガー、クレデンシャルダンプツール、ブルートフォース攻撃を使用して、ユーザー名とパスワードを収集します。

ディスカバリー

ネットワーク内の広範な偵察を行い、その構造を理解し、重要なシステムや機密データを特定します。

横の動き

攻撃者は、正規の管理ツールと侵害された認証情報を利用して、ネットワーク内を横方向に移動し、より多くのシステムに感染します。

コレクション

Blacksuitは機密データを収集して盗み出し、被害者に身代金を支払うよう圧力をかけます。これには、多くの場合、財務データ、個人情報、および独自のビジネス情報が含まれます。

実行

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

データ流出

データは攻撃者が制御する外部サーバーに流出し、多くの場合、検出を回避するために暗号化されたチャネルを使用します。

インパクト

最終段階では、被害者のデータとシステムを暗号化し、使用できなくします。その後、身代金メモが提示され、ファイルを復号化するために暗号通貨での支払いが要求されます。

MITRE ATT&CK マッピング

ブラックスーツが使用するTTP

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

No items found.

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

T1021

Remote Services

TA0009: Collection

No items found.

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

プラットフォーム検出

よくあるご質問(FAQ)

Blacksuitランサムウェアとは何ですか?

Blacksuitは、重要インフラ分野を標的とし、高度な戦術を使用して被害者のネットワークを侵害して暗号化することで知られるランサムウェアグループです。

Blacksuitは通常、どのようにしてネットワークへの初期アクセスを取得するのですか?

多くの場合、フィッシングメールを使用し、公開アプリケーションの脆弱性を悪用し、悪意のある添付ファイルやリンクを送信します。

Blacksuitが最も頻繁に標的にしている業界はどれですか?

教育サービス、行政、建設、専門・技術サービス、卸売業、製造業が主なターゲットです。

Blacksuitは特権昇格にどのような手法を使用していますか?

彼らはソフトウェアの脆弱性を悪用し、Mimikatzなどのツールを使用してより高いレベルのアクセスを取得します。

ブラックスーツはどのようにして検出を回避するのですか?

セキュリティツールの無効化、コードの難読化、信頼できるシステムプロセスの活用などの手法を使用します。

Blacksuitは認証情報へのアクセスにどのような方法を使用していますか?

彼らは、キーロガー、クレデンシャルダンプツール、およびブルートフォース攻撃を採用しています。

Blacksuitはネットワーク内でどのようにラテラルムーブメントを実行しますか?

正規の管理ツールと侵害された資格情報を使用して、追加のシステムにアクセスする。

Blacksuitはどのような種類のデータを盗み出しますか?

財務データ、個人情報、および専有ビジネス情報は、一般的に盗み出されます。

Blacksuitはランサムウェアのペイロードをどのように実行するのですか?

ランサムウェアは、侵害されたシステム上のファイルを暗号化するために展開および実行されます。

ブラックスーツに対する効果的な防御策とは?

強力なフィッシング防御、定期的な脆弱性パッチ適用、強固なクレデンシャル管理、拡張検出およびレスポンス (XDR) ソリューションの導入は極めて重要である。