New Linux Ransomware BlackSuit is similar to Royal ransomware
2023/06/02 SecurityAffairs — 2022年に注目を集めたランサムウェア・ファミリー Royal は、2023年5月初旬にテキサス州ダラスの IT システムに対する攻撃を行っている。人手によるオペレーションを特徴とする Royal ランサムウェアは、2022年9月に初めて脅威環境に登場し、最大で数百万ドルの身代金を要求してきた。Royal ランサムウェアは C++ で書かれており、Windows システムに感染し、データ復旧を防ぐために全てのボリュームシャドウコピーを削除する。このランサムウェアは、ローカルネットワーク上のネットワーク共有とローカルドライブを、AES アルゴリズムで暗号化していくとされる。
5月上旬に、FBI と CISA は共同で CSA (Cybersecurity Advisory) を発表し、このランサムウェア・ファミリーに関連する組織/TTP (Tactics, Techniques, and Procedures)/IOC (Indicators Of Compromise) を提供した。
政府の専門家たちによると、Royal ランサムウェア攻撃の標的となっているは、製造業/通信/教育/医療/公共医療 (HPH:Healthcare and Public Healthcare) などの、多数の重要なインフラ部門であるようだ。
また 5月には、BlackSuit と呼ばれる新しいランサムウェア・ファミリーが、Palo Alto Unit42 などの複数のサイバー・セキュリティ専門家たちにより発見された。
同時期に、一部の研究者たちは、この新しいランサムウェア BlackSuit を Royal ランサムウェアに関連性があると述べていた。その後に Trend Micro の研究者たちは、Twitter から取得した、このランサムウェアの Windows 32 Bit トサンプルの分析を行った。
BlackSuit は、暗号化したファイル名に “.blacksuit” という拡張子を付け、各ディレクトリに身代金メモをドロップしていく。その身代金メモには、被害者ごとの固有の ID に加えて、TOR チャット・サイトへの参照が含まれている。さらに、BlackSuit ランサムウェアのオペレーターは、データリーク・サイトも開設している。
Trend Micro の研究者たちは、Linux マシンを標的とした BlackSuit の x64 VMware ESXi バージョンと Royal ランサムウェアを比較し、2つのファミリーの間に極めて高い類似性があることを発見した。
Trend Micro が公開した分析結果には、「Royal と BlackSuit のランサムウェアのサンプルを比較した結果、きわめて高い類似性が判明した。実際に、バイナリ・ファイルの比較ツールである BinDiff で分析すると、関数で 98%/ブロックで 99.5%/ジャンプで 98.9%の類似性があった」と記されている。
研究者たちは、BlackSuit が受け入れるコマンドライン引数をマッピングし、Royal ランサムウェアと比較することで、異なる引数文字列を導入していることに気づいた。
Trend Micro のレポートは、「BlackSuit ランサムウェアの出現 (Royalとの類似性) は、同じデベロッパーにより開発された新たな亜種もしくは、類似コードを使用した模倣犯、オリジナルのファミリーに修正を加えた Royal のアフィリエイターなどを示唆している。BlackSuit が誕生した可能性として挙げられるのは、Royal (およびその前の Conti) の背後にいる脅威アクターが、現在進行形の最も活発なランサムウェア・グループを運営したことで、他のサイバー犯罪者からの注目度が高まり、その刺激を受けて BlackSuit になったという展開である。また、BlackSuit は、オリジナルの Royal ランサムウェア・グループ内の、分派グループから出現したという可能性もある」と結論付けている。
ランサムウェアの系譜/帰属を分析することで、対策を講じやすくなるので、さまざまな研究者が調べてくれています。最近ですと、Babuk のソースコードが流出し、いろんなサイバー犯罪集団が再利用しているという記事が、何本か出ていました。そして、ここにも Conti の残党が絡んでいるという説があります。よろしければ、Babuk で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.