Royal (ハッカー集団)

ロシアのハッカー集団

Royal(ロイヤル)は、積極的なターゲティング、ランサムウェア恐喝を使用し、被害者から身代金を奪う、ロシアハッカー集団である[1]

医療、金融、重要なインフラなど、幅広い業界をターゲットにし、グループによる身代金要求は25万ドルから200万ドル以上にわたる。

概要

編集

Royalの背後にあるグループは、古い技術と新しい技術を組み合わせた経験豊富で熟練したグループである。彼らはコールバック・フィッシングを使用して被害者を騙してリモートデスクトップマルウェアをダウンロードさせ、脅威アクターが被害者のマシンに簡単に侵入できるようにする。ロイヤルは、関連会社のないプライベートグループだと伝えられている[2]

Royalは、暗号化に独自のアプローチを採用しており、脅威アクターがファイル内の特定の割合のデータを選択的に暗号化できるようにする。そうすることで、アクターはより大きなファイルの暗号化率を下げることができ、悪意のある活動を検出するのが難しくなる。ファイルの暗号化に加えて、Royalは二重の恐喝戦術を採用している。被害者が要求された身代金を支払わない限り、暗号化されたデータを公に公開すると脅す[3]。さらに、重いファイルIO操作を監視するシステムからの検出を回避しながら、被害者のファイルの暗号化プロセスを高速化するために断続的な暗号化を採用している[2]

見出しを作ることに加えて、Royalは、新しい戦術に迅速に適応する能力を実証した。彼らはLinuxベースのバリアントを開発し、ESXiサーバーを含むようにターゲットを拡大した。これは、被害を受けたエンタープライズデータセンターや仮想化ストレージに大きな影響を与える可能性がある[2]

標的

編集

トレンドマイクロのデータによると、米国はRoyalの主な標的であり、ブラジルも後に続いている。Royalの影響を受けた被害者組織のほとんどは中小企業であり、大企業はごくわずかであった[2]

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)によると、Royalによるランサムウェア攻撃は、化学、通信、重要な製造、ダム、防衛産業基地、金融サービス、緊急サービス、医療、原子炉、廃棄物、材料部門など、さまざまな重要なインフラ部門を標的にしている[3][2]

歴史

編集

ハッカー集団は2022年1月から活動しており、当初は「Zeon」という名称として知られていた[2]

2022年9月、ニュースサイトが公開したコールバックフィッシング技術を使用したグループの標的型攻撃に関する記事が、サイバーセキュリティ研究者の間で注目を集めた[2]

活動初期には「BlackCat」と呼ばれる暗号化ツールを使用していたが、後にContiと同様の身代金メモを生成する独自の暗号化を開発した。改称後、彼らは身代金のメモに「Royal」という用語を独占的に使用した[2]

Royalは、2022年第4四半期に最も多作なランサムウェアグループの1つとして認められ、LockBitとBlackCatに次ぐ位にランクインされた。これらのランサムウェアグループのリークサイトからのデータによると、ロイヤルはその3ヶ月間に成功した攻撃の10.7%を占めた。Contiとの関連は、ランサムウェアの急速な上昇に貢献した可能性がある[2]

2022年12月7日、アメリカ合衆国保健福祉省は、Royalがもたらす脅威について医療機関に警告を発した。報告書によると、グループによる身代金要求は25万ドルから200万ドル以上の範囲であるという[2]

2023年11月、連邦捜査局(FBI)とCISAは、Royalが「BlackSuit」と改称した可能性があると警告した[4]

出典

編集
  1. ^ ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口”. おたくま経済新聞 (2024年6月28日). 2024年6月29日閲覧。
  2. ^ a b c d e f g h i j Ransomware Spotlight: Royal – Security News” (英語). www.trendmicro.com. 2023年7月11日閲覧。
  3. ^ a b #StopRansomware: Royal Ransomware | CISA” (英語). www.cisa.gov (2023年3月2日). 2023年7月11日閲覧。
  4. ^ CISA, FBI warn that Royal ransomware gang may rebrand as ‘BlackSuit’”. therecord.media. 2024年2月6日閲覧。

関連項目

編集