BlackSuit（Royal）ランサムウェアの検出: FBIとCISAが強化機能を持つランサムウェアのリブランドについて警告

増大し続ける ランサムウェア 攻撃、金融目的のハッカー集団の増加、そして世界的なランサムウェア被害コストの増加が、現代のサイバー脅威の舞台を揺り動かしています。FBIとCISAは最近 新たな警告 を発し、BlackSuitランサムウェアの出現、強化された攻撃能力を持つRoyalランサムウェアの進化を防御者に通知しました。BlackSuitの運営者はすでに総額5億ドル以上の身代金支払いを要求しており、世界中の組織に対するリスクを増大させています。

BlackSuit（Royal）ランサムウェアを検出する

この夏は、暑さだけでなくランサムウェア活動の急増のためにも激しいものでした。最近登場した Zola と Akira ランサムウェアの活動の増加を受け、CISAとFBIは、BlackSuitと呼ばれる新しい悪意のある株についてサイバー防御者に警告しています。悪名高いRoyalランサムウェアの後継として、BlackSuitの亜種は強化された機能を備え、身代金要求を増大させ、世界中の組織をターゲットにしています。

潜在的なBlackSuit攻撃を先取りするために、セキュリティ専門家はSOC Primeプラットフォームを利用して、関連のある検出ルールセットと高度な脅威検出＆ハンティングソリューションを組み合わせることができます。下の 検出を探索する ボタンを押して、BlackSuiteランサムウェア攻撃を検出するための専用ルールコレクションにすぐにアクセスしてください。

検出を探索する

すべての検出ルールは30以上のSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CKフレームワークにマッピングされています。さらに、検出アルゴリズムは、参照、攻撃タイムライン、トリアージ推奨などの広範なメタデータで強化され、脅威の調査を効率化します。 CTI references, attack timelines, and triage recommendations, streamlining threat investigation.

さらに、セキュリティ専門家は Uncoder AI、検出エンジニアリング用の業界初のAIコパイロットを使用して、CISAの AA23-061A 勧告で提供された妥協の指標を即座にハントすることができます。Uncoder AIはIOCパッケージャーとして機能し、CTIやSOCアナリスト、脅威ハンターがIOCをシームレスに解析し、それをSIEMやEDRで実行可能なカスタムハンティングクエリに変換できます。

より多くの検出コンテンツを探してRoyalランサムウェアファミリー攻撃に立ち向かい、進化を振り返って調査したいセキュリティ専門家は、SOC Primeの Threat Detection Marketplaceに頼ることができます。「Royal」および「Blacksuit」タグを適用することで、サイバー防御者は関連するルールおよびクエリの包括的なコレクションを見つけることができます。

BlackSuit（Royal）ランサムウェアの分析

新しいProtonランサムウェアの変種が登場した Zolaすぐ後に、別のリブランドされたランサムウェア変種が登場しました。FBIとCISAは、BlackSuitランサムウェアのサイバーセキュリティ意識を高めることを目的とした新しい 警告、AA23-061A、 を発行しました。BlackSuitはRoyalから進化しており、前任者と同様のコーディング能力を持っています。前任者は2022年初秋から2023年夏までサイバー脅威の舞台で活動していましたが、リブランドされたランサムウェアはより高度です。

BlackSuitは暗号化の前にデータの抽出と恐喝を行い、被害者が身代金を支払わない限り、被害者のデータをリークサイトで公開すると脅します。初期アクセスには、対戦相手は主にフィッシング攻撃ベクトルに依存しています。他の一般的な感染方法には、RDPまたは脆弱なインターネット公開アプリケーションの悪用や、初期アクセスブローカーからのアクセスの購入による侵入が含まれます。

ネットワークに侵入すると、BlackSuitの運営者はC2サーバーとの通信を確立し、さまざまなユーティリティをダウンロードします。彼らはしばしば正当なWindowsソフトウェアを悪用し、オープンソースプロジェクトを攻撃的に利用します。彼らのRoyalの前任者はChisel、SSHクライアント、OpenSSH、PuTTYなどのツールを使用してC2インフラストラクチャに接続しました。ネットワークに侵入すると、BlackSuitのオペレーターはアンチウイルスソフトウェアを無効にし、大量のデータを盗み、その後にランサムウェアを展開して標的のシステムを暗号化します。対戦相手は、 Mimikatz やNirsoftのような人気のあるユーティリティを利用して資格情報を盗みます。BlackSuitの関係者もまた、Cobalt Strikeのような正当なペネトレーションテストユーティリティを再利用し、Ursnif/Goziなどのマルウェアを利用してデータ収集と流出を行います。

BlackSuitランサムウェアの要求は通常、1百万ドルから10百万ドルのビットコインで、最も高い個別要求は60百万ドルに達します。BlackSuitのアクター達は支払いの交渉に応じる用意がありますが、身代金の額は最初のメモには指定されておらず、Torブラウザを経由した.onion URLを使用した直接のコミュニケーションを必要とします。

BlackSuitランサムウェア攻撃のリスクを軽減するために、FBIとCISAは、CISAとNISTによって作成されたCPGに沿ったAA23-061A警告にリストされている軽減策を適用することを推奨しています。提供された実践と保護に加えて、防御者は、勧告で強調されたATT&CK技術に対して組織の現在のセキュリティコントロールの有効性を評価することも推奨します。組織が新たに出現するランサムウェア攻撃やその他の重大な脅威を積極的に阻止するのを支援するために、SOC Primeは AI駆動の検出エンジニアリング、自動脅威ハンティング、検出スタックバリデーションのための 完全な製品スイート