BlackSuitランサムウェアの検出: Ignoble Scorpiusが攻撃をエスカレートし、世界中の90以上の組織を標的に

昨年、Royalランサムウェアの後継として登場した BlackSuit は急速に高度に高度化した悪質なスピンオフに進化し、世界中の組織を積極的に狙っています。セキュリティ研究者は最近、BlackSuitを運営するIgnoble Scorpiusグループによる活動が大幅に増加していることを観察し、90以上の組織が彼らの執拗な侵入の犠牲となったことが明らかになっています。

BlackSuitランサムウェアを検出する

BlackSuitランサムウェアは2024年に勢いを増しており、建設業、製造業、教育業の業界を中心に複数の組織を積極的に標的としています。潜在的な攻撃に備えるために、セキュリティ研究者はSOC Primeプラットフォームを利用して、関連するSigmaルールを含む完全な製品スイートを提供する共同サイバー防御を行うことができます。

BlackSuitランサムウェアに関連する悪質な活動に対応するキュレーションされた検出スタックにアクセスするには、以下の 検出を探索 ボタンを押すか、“BlackSuit Ransomware”タグを使用してThreat Detection Marketplaceで検出を検索してください。

検出を探索

さらに、サイバーディフェンダーは「Ignoble Scorpius」タグでアクセス可能な検出スタックを探索し、Ignoble ScorpiusのTTPを調査することができます。

すべての検出ルールは30以上のSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、検出アルゴリズムは豊富なメタデータで強化されており、それには CTI 参照、攻撃タイムライン、トリアージ推奨事項が含まれており、脅威の調査を効率化しています。

BlackSuitランサムウェア分析

Unit 42の研究者 は最近、2024年初頭からBlackSuitランサムウェアの活動が急増していることを発見しました。この悪名高い株はRoyalランサムウェアのリブランドで、2023年からサイバーディフェンダーにとって重要な脅威となっており、Ignoble Scorpiusとして追跡されているグループに属しています。リブランド後、世界中で93人以上の被害者が特定されており、おおよそ25％が建設業と製造業に集中しており、主にアメリカ国内です。

その前身と同様に、BlackSuitも暗号化データ漏洩サイトを運営しており、被害者から身代金を支払わせるために、盗まれたデータの名前を公開します。特に、グループの最初の身代金要求は通常、被害者組織の年間収益のおよそ1.6％を基準としており、被害者の業種全体での収益の中央値が約1,950万ドルであるため、これらの要求は直接的な大きな財政的な負担を代表します。

2024年8月に、FBIとCISAは防御者に対し、 BlackSuitランサムウェアの台頭 とその世界的組織への増大する脅威について警告する情報を発表しました。共同サイバーセキュリティ勧告は、グループの身代金要求が5億ドルを超えることが増えていることに注目しました。

Ignoble Scorpiusは、しばしば被害者のネットワークへの最初のアクセスを得るために、盗まれた資格情報やその他の不正なネットワークアクセスを提供する初期アクセスブローカー（IAB）を利用します。研究者は、悪意のある添付ファイルを含むフィッシングメール、GootLoaderを介したSEOポイズニング、ソーシャルエンジニアリングまたはビッシングによって盗まれたVPN資格情報の取得、ソフトウェアサプライチェーンの妥協など、グループが使用するいくつかの方法を特定しています。資格情報の収集には、Ignoble Scorpiusはしばしば Mimikatz やNanoDumpのようなツールを頼りにさらなるネットワークアクセスを得ます。

優先アクセス（ドメイン管理者権限など）を取得後、BlackSuitの維持者はntdsutilを使用してNTDS.ditファイルをダンプし、ドメインコントローラを妥協させます。横移動のために、グループはRDP、SMB、PsExecを活用します。また、STONESTOPやPOORTRYと特定された脆弱なドライバやローダーを使用してアンチウイルスやEDRツールを無効にし、検出回避を促進します。

グループの主要ペイロードは、BlackSuitランサムウェアであり、WindowsとLinuxの両方のインスタンス、VMware ESXiサーバを含むデバイスが対象です。CoバルトストライクやSystemBCなどの追加ツールが持続性と命令実行のために使用されますが、Ignoble ScorpiusやIABによって展開されたかどうかは不明です。

WindowsベースのBlackSuit変異型は、被害者を特定し、身代金メモを通じてプライベートな交渉チャットにアクセスするための32文字の一意の識別コードと一緒にコマンドライン引数-idを使用します。再感染を防ぐために、このマルウェアはミューテックスを使用し、PsExecやWMICなどのツールを使用してSMBを介してランサムウェアを数百のホストに配布および実行します。さらに、研究者はペイロード配送のために仮想マシンを作成するためのVirtualBoxの使用を指摘しています。最大限の暗号化を確保するために、BlackSuitはWindows Restart Managerを使用して開いているファイルを閉じ、重要なプロセス（例：Windows Explorer）を避けながら、既知のプロセスやサービスを終了させます。LinuxベースのESXi変異型は、特に仮想マシンを対象とし、Windowsカウンターパートと比較して2つの追加のコマンドラインフラグを導入します。

まだトップランサムウェアギャングにはランクインしていませんが、Ignoble Scorpiusは、少なくとも93の組織を、RaaSモデルなしで、洗練されたサプライチェーン攻撃で妥協させたという点で際立っています。これは、防御者が迅速に対応することで、組織がランサムウェア攻撃のリスクを最小限に抑えるのに役立ちます。 SOC Primeの完全な製品スイート を活用することで、AIパワーの検出エンジニアリング、自動化された脅威ハンティング、および高度な脅威検出を通じて、先進的な組織はランサムウェア攻撃および増大する複雑化した新たな脅威を阻止し、サイバーセキュリティ体制をリスク最適化することができます。