無料会員登録
BlackSuit(.blacksuit)は業界を問わず様々な企業や組織をターゲットとしたランサムウェアです。
このランサムウェアに感染すると拡張子が「.blacksuit」に書き換わり、データが暗号化されてしまいます。
ランサムウェアに感染した場合、適切な対処が必要です。また個人情報保護の観点から、被害に遭った企業は専門業者の支援が必要になる場合があります。
被害を最小限に抑えるためにも、適切な初動対応と調査を行いましょう。この記事では、BlackSuitランサムウェアの特徴をはじめ、感染が疑われる場合の対処法、調査手法について解説します。
目次
BlackSuit(.blacksuit)ランサムウェアとは
BlackSuit ランサムウェアは、2023年5月頃に発見された比較的新しいランサムウェアグループです。Royalランサムウェアと同様に、CIS (独立国家共同体) の組織はターゲットにされていないようです。
現在までに医療、教育、情報技術 (IT)、政府、小売、製造業の組織をターゲットにしていますが、今後Royalランサムウェアと同様に、医療機関を標的とする攻撃が懸念されています。
Royalランサムウェアのリブランドの可能性
BlackSuit ランサムウェアはRoyalランサムウェアのリブランドであると考えられており、両者の暗号化ツールには著しい類似点が複数あるとも言われています。
具体的には、プログラムを実行する際に特定の動作を指示するための「コマンドライン引数」、ファイル全体を暗号化するのではなくファイルの一部を選んで暗号化する「断続的暗号化技術」などが指摘されています。特に、バイナリファイルの比較では非常に高い類似度が確認されたという報告があります。
なおRoyalは、ロシアや東ヨーロッパの脅威アクターで構成されるサイバー犯罪組織「Conti」の直接的な後継者であると考えられています。
出典:トレンドマイクロ
BlackSuit(.blacksuit)ランサムウェアの特徴
BlackSuitランサムウェアの特徴は次の通りです。
- Windows と Linux双方を狙う
- データ漏洩サイトがある
- 様々な業界の組織・企業をターゲットにしている
Windows と Linux双方を狙う
BlackSuitランサムウェアは、従来のWindowsシステムだけでなく、Linuxシステムも標的としている特徴があります。
近年、企業活動のデジタル化が進み、多くの企業が重要なデータをLinuxシステム上で管理しているため、こうしたシステムをランサムウェアで人質に取ることで、高額な身代金を要求することがあります。
データ漏洩サイトがある
BlackSuitランサムウェアは被害者に身代金を支払わせるための二重脅迫の一環として、データ漏洩サイト(リークサイト)を保有しています。また、BlackSuitランサムウェアのランサムノート(身代金要求書)には「重要なファイルが暗号化されて安全なサーバーに保存されている」「財務レポート、知的財産、個人ファイル、その他の機密データが侵害されている」という主張がいくつか記載されています。
様々な業界の組織・企業をターゲットにしている
BlackSuitランサムウェアは比較的新しいランサムウェアのため、2024年6月時点の被害者はわずかしか知られていないものの、標的の業界は医療、製造、ビジネステクノロジー、ビジネス小売、政府部門など無差別であるようです。
これまでのところ、BlackSuitランサムウェアの標的となったことが判明したのは以下の国です。
- アメリカ合衆国
- カナダ
- ブラジル
- イギリス
Royalランサムウェア(Conti)は、攻撃で旧ソ連や独立国家共同体(CIS)諸国を排除することで知られており、Royalランサムウェア(Conti)との関係が確認されれば、地理的排除パターンを発見できる可能性があります。
今後このグループの監視を続けることで、具体的な標的の傾向や詳細が明らかになると思われます。
出典:米国保健福祉省 医療セクターサイバーセキュリティ調整センター(HC3)
BlackSuit(.blacksuit)ランサムウェアに感染するとどうなるのか
BlackSuitランサムウェアに感染すると以下の症状が発生します。
- 暗号化され拡張子が「.blacksuit」に変わる
- 「README.BlackSuit.txt」というランサムノートが表示される
- 二重恐喝をおこなう
ランサムウェアに感染するとどうなるかについては下記の記事でも詳しく解説しています。
暗号化され拡張子が「.blacksuit」に変わる
BlackSuitランサムウェアは、感染したシステム内のファイルを「.blacksuit」という特定の拡張子で暗号化します。
これにより、被害者はファイルを正常にアクセスできず、データが利用不能になりますが、これは攻撃者の意図や特定のランサムウェアの識別に役立つ重要な要素となります。
「README.BlackSuit.txt」というランサムノートが表示される
画像引用元:PCrisk
BlackSuitランサムウェア感染後、被害者に対して身代金の支払い方法や連絡先を記載した「README.BlackSuit.txt」というファイルが表示されます。
内容を要約すると以下の通りです。
- BlackSuitという名の恐喝者があなたのシステムを攻撃しました
- すべての重要なファイルは暗号化され、安全なサーバーに保存されました
- 私たちは財務レポート、知的財産、会計、訴訟、苦情、個人ファイルなど、あなたのすべてのファイルを持っています
- 私たちはこの問題をワンタッチで解決できます
- 私たち (BlackSuit) は、私たちと取引することに同意していただければ、すべてを取り戻す機会を提供します
- 非常に少額の補償で、考えられるすべての財務的、法的、保険その他、多くのリスクや問題を取り除くチャンスがあります
- すべてのファイルは復号化され、データはリセットされ、システムは安全に保たれます
- 次のリンクを使用して、TOR ブラウザーからお問い合わせください
出典:PCrisk
二重恐喝をおこなう
BlackSuitランサムウェアは「二重恐喝(ダブルエクストーション)」を採用しています。
二重恐喝型ランサムウェアとは、コンピュータに保存されているデータを暗号化して復号するための身代金を要求するだけでなく、さらに第二弾の脅迫として感染したコンピュータ内に保存されているデータを公開すると脅迫して金銭を要求するランサムウェアです。
二重恐喝型ランサムウェアは、従来のランサムウェアよりも被害が大きく、企業や個人にとって大きな脅威となっています。
BlackSuit(.blacksuit)ランサムウェアの被害事例
BlackSuitランサムウェアの攻撃被害事例を一部紹介します。
- 2024年2月 イーストセントラル大学
- 2024年4月 Octapharma Plasma
- 2024年6月 CDK Global
- 2024年6月 KADOKAWA
2024年2月 イーストセントラル大学
2024年2月16日、オクラホマ州エイダにあるイーストセントラル大学(ECU)がBlackSuitランサムウェアの標的となり、大学のシステムが攻撃を受けました。
ECUの最も重要なシステムはセキュリティ対策が施されていたため稼働し続けていましたが、その他キャンパス内のさまざまなコンピューターはサイバー攻撃の被害を受けました。
ECU は、攻撃によって影響を受けた可能性のあるデータの全範囲と規模について調査を続けています。現時点では情報が流出したという証拠はありませんが、大学は多数の個人名と社会保障番号が攻撃者に公開された可能性があることを確認しています。
2024年4月 Octapharma Plasma
2024年4月17日、米国各地にプラズマ収集センターを運営し、世界中の製薬会社に血漿製剤を提供するOctapharma Plasma が、自社のネットワーク内で不審な活動を検出しました。この出来事がきっかけで、米国内の 150 を超える血漿センターで一連の業務停止が発生しました。
多くのアメリカのメディアでは、このシャットダウンの背景にはランサムウェア攻撃、具体的には BlackSuit ランサムウェアの可能性があると報じられています。
出典:Medium
2024年6月 CDK Global
2024年6月18日、CDK Globalがランサムウェア攻撃を受けました。CDK Globalは全米1万5000店の自動車販売店が使用するシステムを提供するグローバルプロバイダーです。CDK Globalはただちに対応を開始し、19日午後には一部システムが復旧しましたが、6月19日夜に2度目の攻撃を受け、再びシステムがダウンしました。
多くのアメリカのメディアでは、CDK Globalの大規模なIT障害と北米全土の自動車販売店への混乱の背後には、BlackSuitランサムウェア集団がいると言われています。
2024年6月 KADOKAWA
2024年6月27日、「BlackSuit」を名乗るハッカー集団がダークウェブ上に犯行声明を出したことが判明しました。
犯行声明によると、約1カ月前にKADOKAWAのネットワークにアクセスし、ネットワーク全体を暗号化したと言い、同社経営陣との交渉次第ではすべてのデータを7月1日に公開するとしています。
KADOKAWAは2024年6月8日(土)未明より、当社グループの複数のサーバーにアクセスできない障害が発生し、その後の調査で同社グループデータセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けたものと確認されました。
KADOKAWAは被害の拡大を防ぎ、データを保全するために直ちに同データセンター内のサーバーをシャットダウンするなど緊急措置を講じており、同じデータセンターを共有しているKADOKAWAグループの複数のウェブサイトだけでなく、事業活動や経理機能を管理する基幹システムの一部にも機能停止が発生しいると発表しています。
KADOKAWAは日本経済新聞の取材に対して犯行声明について「現時点でお答えできることはない」とコメントしています。
BlackSuit(.blacksuit)ランサムウェアの感染経路とは
BlackSuitランサムウェアの感染経路として次のものを挙げることができます。
- フィッシングメール
- トレントウェブサイト
- マルバタイジング
- トロイの木馬
フィッシングメール
フィッシングメールとは、偽のリンクや悪意ある添付ファイル(officeファイルなど)が含まれた偽メールです。
BlackSuitランサムウェアはマクロを含むメール添付ファイルを通じて配布され、ユーザーが添付ファイルを開くと感染します。
フィッシングメールは、巧妙に作られているため、見分けるのが難しい場合がありますが、以下の対策を講じることで未然に被害を防ぐことができます。
- 不審なメールを開かない
- リンクや添付ファイルをクリックしない
- 巧妙に作られた偽のウェブサイトにアクセスしない
- セキュリティソフトを導入し、最新の脅威に対応する
トレントウェブサイト
トレントウェブサイトは、BitTorrentと呼ばれるファイル共有プロトコルを利用して、様々なファイルをダウンロードできるウェブサイトです。違法なファイルのダウンロードに使用されることも多いですが、音楽、映画、ソフトウェア、電子書籍などの合法的なファイルを共有する目的で使用される場合もあります。
ユーザーはトレントファイルと呼ばれる小さなファイルをダウンロードします。このファイルには、ダウンロードしたいファイルの場所や情報が含まれています。
BlackSuit ランサムウェアは、トレント ファイルに埋め込まれることがあり、ユーザーがこれらの感染したトレント ファイルをダウンロードして開くと、システムがランサムウェアに感染する可能性があります。
マルバタイジング
マルバタイジングとはWeb広告に悪意のあるコードを仕込み、ユーザーのデバイスにマルウェアを感染させる・不正なサイトに誘導するこを目的としたサイバー攻撃です。
マルバタイジングを通じてBlackSuitランサムウェアを配布し、ユーザーが広告をクリックすることで感染します。
トロイの木馬
トロイの木馬は、マルウェアの一種であり、一見無害なプログラムやファイルに偽装して、コンピュータに侵入し、悪意のある動作を行います。
BlackSuit(.blacksuit)ランサムウェアに感染したと疑われる場合の対処方法
BlackSuitランサムウェアに感染したと疑われる場合の対処方法は次のとおりです。
- 感染端末をオフラインにする
- 身代金は支払わない
- バックアップを確認する
- データベースサイトに暗号化ファイルをアップする
- サイバーセキュリティの専門家に被害の調査を依頼する
ランサムウェアの被害を防ぐためには、セキュリティ対策を強化し、ランサムウェア攻撃者から身代金を要求された場合は、支払わないことが重要です。
感染端末をオフラインにする
ランサムウェアに感染すると、周囲の端末やファイルサーバーにも感染が広がってしまうことがあります。
そのため、異常を検知したら、端末をオフラインにすることで被害を最小限に抑えることができます。
身代金は支払わない
ランサムウェアに感染した場合、身代金を支払うことは避けるべきです。
身代金を支払ったとしても、データが復旧できるとは限りません。また、反社会的勢力への資金提供はコンプライアンスに抵触する恐れがあります。
ランサムウェアに感染した場合は、サイバーセキュリティの専門家に被害の調査を依頼し、ファイルの復元を試みることが重要です。また、今後の感染を防ぐための対策を講じることも重要です。
バックアップを確認する
BlackSuitランサムウェアに感染してしまっても、データのバックアップを定期的にとっていた場合には、データを復元できます。ただし、バックアップからデータを復元する際には、最新のバックアップを復元するようにしてください。最新のバックアップがなければ、被害を受けたデータの最新のバージョンを復元することはできません。
またバックアップの頻度や適切な保管方法も重要です。
バックアップの頻度については、毎日、週に1回、月に1回など、データの重要度に合わせて設定する必要があります。
また、バックアップの保管方法については、オフラインで保管しておくことで、ランサムウェアの感染からデータを守ることができます。ただし、バックアップを同じサーバー内に保存していた、ネットワークで接続されていてバックアップサーバーが侵害された場合、バックアップファイルも暗号化されるケースがあるため注意が必要です。
データベースサイトに暗号化ファイルをアップする
ID Ransomware は、ランサムウェアを検索できる無料 サービスで、適切な対処法や復旧手段を見つけることができます。ただし、すべてのランサムウェアの種類が登録されているわけではなく、ランサムウェアの作成者が復号方法を変更することもあります。したがってデータベースを活用するだけでは、感染したファイルの復旧が保証されているわけではありません。
サイバーセキュリティの専門家に被害の調査を依頼する
ランサムウェアに感染した際は、個人での原因特定には、限界があるため、適切な調査を行う場合、サイバーセキュリティの専門家に被害の調査を依頼することで、迅速かつ効果的に被害を特定・回復できます。
サイバーセキュリティの専門家に被害の調査を依頼するメリットは、以下のとおりです。
- ランサムウェアの種類を特定し、適切な復旧方法を検討することができる
- ファイルの復元を試みることができる
- 今後の感染を防ぐための対策を講じることができる
仮に情報漏えいの有無や感染経路を特定しなければ、バックドア(マルウェアが出入りする勝手口)を仕掛けられていても気づくことはできません。また被害範囲が分からないままだと、攻撃が繰り返される恐れがあります。
こうしたランサムウェアの感染経路調査には「フォレンジック調査」という方法が有効です。個人での対処が難しい場合は、条件に見合う適切な専門業者に相談することをおすすめします。
おすすめフォレンジック調査会社
フォレンジックは、デジタルデバイスから電子的証拠を収集、分析するプロセスで、サイバー攻撃被害の全容解明に役立ちます。
しかし、フォレンジック調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。
そこで、対応領域や費用・実績などを踏まえ、50社以上の中から見つけたおすすめのフォレンジック調査会社・調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計3.2万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。
調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。
また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。
| 費用 | ★相談・見積り無料 まずはご相談をおすすめします |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、ハッキング・不正アクセス調査、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✔官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
まとめ
今回は、Blacksuitランサムウェアの特徴についてはもちろん、ランサムウェアに感染した場合の適切な対処法や専門業者についても詳しく解説しました。
ランサムウェアは、企業や公的機関を狙うものが年々増加しており、被害総額も大幅に増加しています。
この記事で紹介した対処方法を確認し、被害を最小限に抑えることが重要です。
自分自身で対処することが難しい場合、ないし被害を把握し適切な対処を行う場合、専門業者に相談することも検討してみてください。専門家は、適切な対処法を提供し、被害を最小限に抑えるために役立ちます。
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
ランサムウェアの感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。