「圧強め」の身代金要求 新興攻撃グループRA Group その特徴：Cybersecurity Dive

Cisco Talosの研究者は、新興のランサムウェアグループRA Groupを観測した。RA Groupは製造や金融、保険および製薬業界の組織を標的にしており、1週間で4件の“成果”を得た。

[Matt Kapko，Cybersecurity Dive]

　Cisco Systemsの脅威インテリジェンスグループCisco Talosの研究者が2023年5月15日（現地時間、以下同）に発表した内容によると（注1）、新興勢力であり、活発に活動するランサムウェアグループであるRA Groupは製造や金融、保険および製薬業界の組織を標的にしているという。

　RA Groupは2023年4月22日の登場から1週間以内に、米国の3つの組織と韓国の1つの組織を攻撃した。Cisco Talosによると、同グループは同年4月27日に米国の被害者をリークサイトに掲載し、同年4月28日に韓国の被害者を追加した。

RA Groupは身代金の支払いのための圧力を強めた手法を使う

　最初の被害者はデータを暗号化された後に窃取されている。これは被害企業に身代金を支払うように圧力をかける「二重の脅迫」の一種だ。

　RA Groupのランサムウェアノート（身代金を要求する文書）によると、身代金が支払われない場合、3日以内にサンプルファイルを公開し、1週間以内に盗まれたデータの完全に公開すると予告している。

　RA Groupは二重恐喝型ランサムウェア「Babuk」のソースコードを使用しており、Cisco Talosの研究者によるとこれは高度にカスタマイズされたものだ。Cisco Talosによると、2021年に開発者によって流出して以来、Babukのソースコードは複数のランサムウェアグループに使用されている。

　2023年4月に初めて検出されたBabukのソースコードをカスタマイズした「Rorschach」は他のバリエーションよりもデータをより迅速に暗号化し、Check Pointの研究者によって「史上最速のランサムウェア」と評価された（注2）。

　2023年初めに、「VMware ESXi」を使用する組織を標的とした一連のランサムウェア攻撃が実行され、その際にもBabukのソースコードが使用されていた（注3）。

（注1）Newly identified RA Group compromises companies in U.S. and South Korea with leaked Babuk source code（Cisco）
（注2）Rorschach ransomware, with a rare encryption speed, makes it even harder for companies to respond（Cybersecurity Dive）
（注3）What’s known about the ESXiArgs ransomware hitting VMware servers（Cybersecurity Dive）

原文へのリンク