ロイヤルランサムウェアが企業を攻撃するためにブラックスーツ暗号化ツールを使用

ロイヤルランサムウェアは、ペンテスターやコンティチーム1に関連する者、その他のランサムウェアギャングからの新たなリクルートで構成されるランサムウェアグループです。2023年に立ち上げられ、2022年6月に閉鎖されたコンティの後継者と考えられています。

設立以来、ロイヤルランサムウェアは非常に活発で、企業へのいくつかの攻撃の責任を負っており、ロイヤルランサムウェアグループは、通常のキャンペーン暗号化ツールに多くの類似点を持つ新しい暗号化ツール「ブラックスーツ」のテストを開始したようです。

昨年4月から、ロイヤルランサムウェアが新しい名前の下で再ブランド化されるという噂が十分にありました。これは、テキサス州ダラス市を攻撃した後、ランサムウェアグループが法執行機関から圧力を感じたため、より深刻なものとなりました。

5月、サイバーセキュリティ研究者たちは、自社ブランドの暗号化ツールとTor交渉を使用した攻撃を発見しました。これらはロイヤルランサムウェアが再ブランド化するキャンペーンであると考えられていますが、実際には再ブランド化は行われておらず、ランサムウェアグループは依然として組織を攻撃しており、ブラックスーツを少ない攻撃で使用しています。

Yelisey Bohuslavskiy氏は、RedSenseのパートナー兼R&D責任者としてLinkedInに投稿し、ロイヤルはコンティの直接の後継者であり、60人以上のペンテスターで構成されていると述べました。彼らはコンティの古いガードから来たか、さまざまなエリートランサムウェアグループからリクルートされた人々です。4〜5人の小グループで運営され、リーダーに忠実です。

読む: 新しいロイヤルトロイの木馬の変種が発見され、VMware ESXi仮想マシンをターゲットにしています

ランサムウェアグループは、EmotetやIcedIDを先駆けとして、ブラックスーツとロイヤルローダーを使用しています。彼らはCobaltStrikeの代替手段を優先し、特にSilverを重視し、カスタムの先駆けを開発しています。

Bohuslavskiyによれば、ランサムウェアグループは、IcedIDという新しいローダーやEmotetを再活性化するなど、彼らが使用している他のツールと同様に、新しい暗号化ツールを単にテストしている可能性があります。

彼らはEmoledを改善し続けており、IcedIDにも多くの作業を行っています。新しいロッカーに関する彼らの実験は、その点で自然なものだとBohuslavskiyは述べています。

これに加えて、Bohuslavskiyは、私たちはすぐにブラックスーツのようなものをもっと見るかもしれないと言いました。しかし、現時点では、新しいローダーとブラックスーツロッカーの両方が失敗した実験であるようです。

ブラックスーツは自己完結型の活動であるため、ロイヤルは特定のタイプの被害者に焦点を当てたサブグループを開始する計画を立てているか、後で再ブランド化のために保持されている可能性があります。ただし、ブラックスーツとロイヤルランサムウェアの間には明確な類似点があるため、再ブランド化は見られないかもしれません。これはTrend Microの報告でも強調されています。

類似点には、コードの類似性、ファイルの含有などがあります。ただし、ブラックスーツがどのように使用されるかは不明です。現在、彼らのデータ漏洩ウェブサイトには1人の被害者しかリストされていませんが、新しい暗号化ツールがより多く使用される場合、非常に速く変わる可能性があります。

読む: 軍事および政府機関をターゲットにしたダークピンクハッカーグループ