New Ransomware Gang RA Group Hits U.S. and South Korean Organizations
2023/05/15 TheHackerNews — RA Group という名の新たなランサムウェア・グループが、流出した Babuk ランサムウェアのソースコードを活用して、独自のロッカー・バリアントを派生させている。サイバー セキュリティ企業 Cisco Talos によると、このサイバー犯罪集団は、遅くとも 2023年4月22日から活動しているとされ、急速に活動を拡大しているとのことだ。
Cisco Talos のセキュリティ研究者である Chetan Raghuprasad は、「現在までに、このグループは、製造業/資産管理/保険業者/医薬品などビジネス分野において、米国で3組織、韓国で1組織を侵害した」と、 The Hacker News と共有したレポートで述べている。
RA Group は、他のランサムウェア・ギャングと同様に、二重の恐喝攻撃を行い、被害者に圧力をかけて身代金を支払わせるために、リークサイトを運営している。
Windows ベースの RA Group バイナリは、プロセスを高速化し、検出を回避するための断続的な暗号化を採用しており、ボリュームシャドウ・コピーやごみ箱の内容も削除する。
Raghuprasad は、「RA Group は、被害者の名前と流出証拠をダウンロードするための、ユニークなリンクを含むカスタマイズされたランサムノートを使用してい。被害者が、3日以内に行為者に連絡しない場合には、被害者のファイルが流出させられる」と説明している。
また、ハードコードされたリストにより、システム・ファイルやフォルダの暗号化が回避されるため、被害者は qTox チャット・アプリをダウンロードし、ランサムノートに記載された qTox ID を使用して、オペレーターに連絡できるようになている。
RA Group と他のランサムウェアとの相違点は、安全な TOR サイト上で情報をホストしながら、被害者のデータをリークポータルで販売しているところにある。
先日に SentinelOne は、洗練された専門知識を持つ脅威アクターたちが、Babuk ランサムウェアのコードを採用し、Linux システムを標的とする 12種類の亜種を開発していると公表してから、1週間も経たないうちに RA Group が登場した。
SentinelOne は、「ESXi/Linux 用のランサムウェアを開発するために、Babuk ビルダーを採用する脅威アクターが増えていることを示す、顕著なトレンドがある。つまり、開発リソースが限定されている脅威アクターが使用する傾向があり、それらの脅威アクターが Babuk ソースコードを大幅に変更する可能性は低いだろう」と述べている。
これまでの1年間に、Babuk のソースコードを採用したランサムウェア・ギャングには、AstraLocker と Nokoyawa がある。Babuk ベースのランサムウェアである Cheerscrypt は、Rook/Night Sky/Pandora といった短命のランサムウェアを運用する、Emperor Dragonfly という中国の APT と関係があるとされている。
また、今回の発見は、コードネームが Rancoz/BlackSuit という、2つの新たなランサムウェアの発見に続くものであり、後者は Windows/VMware ESXi サーバをターゲットとして設計されている。
Cyble は、「新しいランサムウェアの亜種の、絶え間ない進化とリリースが、脅威アクターたちの高度なスキルと敏捷性を浮き彫りにしている。彼らは、サイバー・セキュリティ対策や検出に反応し、それに応じてランサムウェアをカスタマイズしている」と述べている。
Babuk のソースコードを採用したランサムウェアとして、この RA Group が注目され始めていますが、2023/05/12 の「Babuk ランサムウェアのソースコード流出:VMware ESXi を狙う脅威アクターたちが特定された」で、帰属性に関する分析が行われています。Babuk は、なかなか洗練されたランサムウェアであるため、そのソースコードを利用する脅威アクターも多いようです。よろしければ、Babuk で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.