ランサムウェア BlackSuit （ブラックスーツ）とは 概要や事例、国などを解説

ランサムウェア グループ BlackSuit （ブラックスーツ）とは 概要や事例、国標的などを解説します。

ランサムウェア グループ BlackSuit （ブラックスーツ）とは

ランサムウェア攻撃グループ BlackSuit （ブラックスーツ）は大手から中小企業まで幅広くサイバー攻撃を行う集団で、日本でもKADOKAWAグループやニコニコ動画へのサイバー攻撃とランサムウェア攻撃で知られています。また、同名ランサムウェア「BlackSuit （ブラックスーツ）」も利用します。

BlackSuit(ブラックスーツ)が初めて登場したのは 2023 年 5 月で、悪名高いランサムウェア攻撃グループ「Conti」の残党から生まれた ランサムウェア攻撃グループ「Royal」とも強い繋がりを指摘されています。

米国保健福祉省（HHS）は医療および公衆衛生部門に対し、BlackSuit(ブラックスーツ)に関する勧告を出し、「Royal」との「著しい類似点」を述べ、

さらにBlackSuit(ブラックスーツ)は「悪名高いロシア関連の「Conti」の直接の後継者」であると述べました。

ランサムウェア グループ BlackSuit （ブラックスーツ）の標的

被害件数が少ないため、BlackSuit の標的選定については現時点ではっきりしておらず

これまでの主な攻撃対象国としては、アメリカ合衆国、カナダ、ブラジル、イギリスが確認されています。

また、業種に偏りはありませんが、これまで製造業、ヘルスケア、政府機関などの攻撃が確認されています。

ランサムウェア のBlackSuit （ブラックスーツ）に感染すると

BlackSuit（ブラックスーツ） は主に Linux と Windows システムを標的とし、ファイルを暗号化して被害者がアクセスできないようにします。

※上記のBlackSuit （ブラックスーツ）はランサムウェアのBlackSuit （ブラックスーツ）

ランサムウェアのBlackSuit（ブラックスーツ） は暗号化したファイルに “.blacksuit” という拡張子を追加し、デスクトップの壁紙を変更し、身代金要求メモ (“README.BlackSuit.txt”) を作成してディレクトリに配置し、ファイル名を変更し、身代金メモに被害者ごとのユニークな ID と共に Tor を記載します。

BlackSuit の身代金要求メモには、重要なファイルが暗号化され、安全なサーバーに保管されているため、財務報告書、知的財産、個人情報、その他の機密データが漏洩したと主張されます。

BlackSuit （ブラックスーツ）ランサムウェアの複合化ツールは存在しない。

現在、BlackSuit （ブラックスーツ）ランサムウェアの公開されている復号ツールは存在しません。

その為、身代金の支払いを行いたくなりますが、身代金を支払っても二重恐喝・二重脅迫されるので絶対支払ってはいけません。

ランサムウェアのBlackSuit （ブラックスーツ）の暗号化の流れ

ランサムウェアのBlackSuit（ブラックスーツ） はシステムに感染すると、FindFirstFileW() と FindNextFileW() API 関数を使用してファイルとディレクトリを列挙し、暗号化プロセスを開始します。BlackSuit は暗号化アルゴリズムとして Advanced Encryption Standard (AES) を使用します。

AES アルゴリズムは対称暗号方式であり、データ暗号化によく用いられます。
BlackSuit は OpenSSL の AES を暗号化に用い、同様の中断的な暗号化手法を採用して、被害者のファイルを高速かつ効率的に暗号化します。

ペイロードの配布方法

ペイロードは、フィッシング メールまたはサードパーティのフレームワーク (Empire、Metasploit、Cobalt Strike など) を介して配信され、これまでのところ、BlackSuit ランサムウェアの具体的な使用は少数の攻撃でのみ確認されており、RaaS (Ransomware-as-a-Service) である可能性は低いと考えられています。

二重脅迫を実施する

BlackSuit （ブラックスーツ）は二重脅迫戦略の一環として、被害者に身代金支払いを強要するためにデータ漏洩サイトを立ち上げることもあります。実際　KADOKAWAはリークサイトでデータをアップロードされました。

ランサムウェア グループ BlackSuit （ブラックスーツ）の目的

金銭窃取のみの目的となり、アクティビスト的な犯行や国家の支援を受けた犯行はいまのところ確認されていません。

BlackSuit （ブラックスーツ）はどこの国

ランサムウェア グループ BlackSuit （ブラックスーツ）はロシア系のサイバー攻撃・ランサムウェア攻撃集団とされています。

また、Royal と同様に、旧ロシア同盟国である、CIS (独立国家共同体) はターゲットにされていないようです。

ランサムウェア攻撃グループ BlackSuit （ブラックスーツ）の事例

KADOKAWA（ニコニコ動画）へのランサムウェア攻撃・サイバー攻撃

2024年6月　BlackSuit （ブラックスーツ）はKADOKAWAやニコニコ動画へサイバー攻撃とランサムウェア攻撃を行い、自身のリークサイトで以下声明を発表しました。

BlackSuit （ブラックスーツ）の犯行声明

私たちのチームは約1ヶ月前にKADOKAWAのネットワークにアクセスしました。言語の問題もあり、KADOKAWAの子会社のネットワークが相互に接続されており、IT部門が作り出した混乱を通り抜けるのに時間がかかりました。KADOKAWAのネットワークアーキテクチャが適切に整理されていないことが判明しました。

異なるネットワークが、eSXIやV-sphereのようなグローバル制御ポイントを通じて制御されている大規模なKADOKAWAのインフラに接続されていました。一度制御センターにアクセスすると、私たちはネットワーク全体を暗号化しました（Dwango、NicoNico、KADOKAWA、その他の子会社）。

チームの第2部分がネットワークからネットワークから約1.5TBのデータをダウンロードしました。

アメリカのディーラー向けSaaS CDKグローバルへのサイバー攻撃とランサムウェア攻撃

CDKグローバルのシステムは、SaaS形式で全米の15,000 を超える自動車ディーラーに自動車部品の追跡や注文、新規販売、融資、CRM機能などを提供しています。

2024年6月広範囲に渡る障害が発生し 、この攻撃にはBlackSuitが関わっているとされています。

このサイバー攻撃により、CDKはITシステムとデータセンターの閉鎖を 余儀なくされたため、同社のディーラー管理システムを使用している自動車ディーラーは紙とペンに切り替えざるを得なくなり、購入者は自動車を購入したり、すでに購入した自動車のサービスを受けることができなくなりました。