RA Groupについて

Cisco Talosは最近、少なくとも2023年4月22日以降に活動を開始した新たなランサムウェア・アクター、RA Groupを発見しました。このアクターは急速に活動を拡大しており、現在までにアメリカの3つの組織と韓国の1つの組織を侵害しています。これらの組織は製造業、富裕層向け資産管理、保険提供者、製薬業界を含むいくつかのビジネス領域にまたがっています。Talosは、RA GroupがリークされたBabukランサムウェアのソースコードを利用していると高い確信を持って評価しています。

RA Groupの攻撃

RA Groupはダブルエクストーションの攻撃を展開しています。他のランサムウェアアクターと同様に、RA Groupもデータリークサイトを運営しており、指定された時間内に連絡を取らなかったり、身代金の要求を満たさなかった被害者から抽出したデータを公開すると脅しています。

このアクターは急速に活動を拡大しています。RA Groupは2023年4月22日にデータリークサイトを立ち上げ、4月27日に最初の一連の被害者（合計3人）を観察しました。その翌日にはもう1人の被害者を観察しました。また、被害者の詳細を公開した後にリークサイトに微細な変更を加えていることから、彼らが活動の初期段階にあることを確認しました。

RA Groupのランサムウェアコードのカスタマイズ

RA Groupのランサムウェアコードは高度にカスタマイズされており、各被害者に対してその名前を書いた特定の身代金要求書を組み込んで配布しています。ただし、RA Groupが実行可能ファイルに被害者の名前を記入するのは珍しいことです。

保護

Cisco Secure Endpointは、この記事で詳述されているマルウェアの実行を防ぐのに理想的です。また、Cisco Secure Web Applianceは悪意のあるウェブサイトへのアクセスを防止し、これらの攻撃で使用されるマルウェアを検出します。