BlackSuitランサムウェアのリークサイトが差し押さえられる：国際法執行作戦「Operation Checkmate」

佐々山 Tacos

2025.10.17

BlackSuitランサムウェアのリークサイトが差し押さえられる：国際法執行作戦「Operation Checkmate」

BleepingComputer – July 24, 2025

BlackSuitランサムウェアオペレーションのダークウェブ上のリークサイトを、米国などの法執行機関が差し押さえ。BlackSuit .onionドメインの複数サイトは現在、米国土安全保障捜査局（HSI）によりこれらのサイトがテイクダウンされた旨を伝えるバナーが表示されているという。

BlackSuitはもともと2022年1月に、Quantumランサムウェアとして登場したグループで、Contiサイバー犯罪シンジケートの直接の後継者であると考えられている。Quantumは当初ALPHV/BlackCatなどほかのグループの暗号化ツールを借用していたが、同年9月に「Royal」へとリブランドすると、独自の暗号化ツールZeonを展開するようになった。その後2023年6月、テキサス州ダラス市への攻撃ののちにRoyalはBlackSuitへとリブランド。2022年9月以降に同グループが被害組織へ要求した身代金の総額は5億ドルを超えるという。

今回のテイクダウンは、米国の連邦法執行機関であるHSIが国際合同捜査作戦「Operation Checkmate」の一環として実施したもの。これには、米シークレットサービス、オランダ国家警察、ドイツ州刑事庁、英国国家犯罪対策庁、ユーロポールなど欧米諸国の機関のほか、ルーマニアのサイバーセキュリティ企業Bitdefenderも参加している。

.onionドメインを差し押さえられたBlackSuitだが、すでに別の「Chaosランサムウェア」へとリブランドしている可能性が高いという。Cisco Talosが24日に公開したブログ記事の中で指摘した。同社は両グループが用いる暗号化コマンド、ランサムノートのテーマや構造、またLOLbinsやRMMツールの使用といったTTPの共通点を踏まえ、ChaosはBlackSuitのリブランド版であるか、BlackSuitの元メンバーによって運営されているかのいずれかだろうと中程度の確度で評価している。