RA World、別名RA Groupとして知られるランサムウェアグループが、昨年4月の活動開始以来、急速にその攻撃範囲を拡大している。このグループは、高度な戦術を用いてグローバルに攻撃を展開し、特にラテンアメリカの複数の医療機関を標的にした多段階サイバー攻撃で注目を集めた。この攻撃では、標的の環境のグループポリシー設定を操作し、最大限の被害を引き起こしつつ検出を回避することを目指した。
RA Worldは、製造業、資産管理、保険、製薬業界の組織を対象にした米国と韓国での初期攻撃から、ドイツ、インド、台湾へと攻撃を拡大している。米国は依然として最も多くの攻撃が行われた国である。
このグループは、被害者に身代金の支払いを促すために、以前の被害者の詳細をランサムノートに使用する二重の恐喝戦術を継続して使用している。RA Groupは、2021年に漏洩したBabukランサムウェアのソースコードを基に、他のアクターとは異なる高度にカスタマイズされたアプローチを使用して攻撃を行っている。
攻撃者は、ドメインコントローラーを介して侵入し、Group Policy Object(GPO)設定を操作してPowerShellスクリプトの実行を可能にする。この手法により、攻撃者はペイロードをコンピュータ内に保存し、他のローカルマシン上で実行することができる。攻撃が完了すると、攻撃者はマルウェアの残骸を削除し、さらに回避策として、Trend Microの防御フォルダを消去しようとするSD.batスクリプトを展開する。
ランサムウェア攻撃に対抗するためには、組織はエンドポイント、メール、Webインターフェース、ネットワークを含むシステムへの潜在的なアクセスポイントのセキュリティを強化するために、多層的なセキュリティアプローチを採用するべきである。また、管理権限の割り当て、セキュリティ製品の定期的な更新と定期的なスキャン、重要データの定期的なバックアップ、メールやウェブサイトとのやり取りに注意すること、社会工学的な手法に対する従業員の教育が推奨される。
【ニュース解説】
昨年4月に活動を開始したRA World(以前の名称はRA Group)というランサムウェアグループが、短期間でその攻撃範囲を急速に拡大しています。このグループは、特にラテンアメリカの医療機関を含む、世界中の様々な組織を標的にしています。彼らの攻撃は、標的の環境のグループポリシー設定を操作することで、最大限の被害を引き起こし、かつ検出を回避することを目指した多段階のサイバー攻撃です。
RA Worldは、製造業、資産管理、保険、製薬業界など、幅広い業界の組織を対象に、米国と韓国での初期攻撃から始まり、その後ドイツ、インド、台湾へと攻撃を拡大しています。米国は、特定の国で最も多くの攻撃が行われた国として挙げられています。
このグループは、被害者に身代金の支払いを促すために、以前の被害者の詳細をランサムノートに使用するという二重の恐喝戦術を使用しています。また、2021年に漏洩したBabukランサムウェアのソースコードを基に、他のアクターとは異なる高度にカスタマイズされたアプローチを採用しています。
攻撃者は、ドメインコントローラーを介して侵入し、Group Policy Object(GPO)設定を操作してPowerShellスクリプトの実行を可能にします。この手法により、攻撃者はペイロードをコンピュータ内に保存し、他のローカルマシン上で実行することができます。攻撃が完了すると、攻撃者はマルウェアの残骸を削除し、さらに回避策として、Trend Microの防御フォルダを消去しようとするSD.batスクリプトを展開します。
ランサムウェア攻撃に対抗するためには、組織はエンドポイント、メール、Webインターフェース、ネットワークを含むシステムへの潜在的なアクセスポイントのセキュリティを強化するために、多層的なセキュリティアプローチを採用することが重要です。管理権限の割り当て、セキュリティ製品の定期的な更新と定期的なスキャン、重要データの定期的なバックアップ、メールやウェブサイトとのやり取りに注意すること、社会工学的な手法に対する従業員の教育が推奨されます。
このような攻撃の増加は、サイバーセキュリティの重要性を改めて浮き彫りにしています。組織は、攻撃者が利用する可能性のある脆弱性を理解し、それに対処するための適切な対策を講じる必要があります。また、従業員を教育し、サイバーセキュリティ意識を高めることも、攻撃を防ぐ上で不可欠です。
from Fast-Growing RA Ransomware Group Goes Global.
