RAグループの起源
RAグループは2020年代初頭に登場し、大企業や政府機関を標的にしたことで有名になった。
このグループの手口は、ネットワーク・セキュリティの脆弱性を悪用してランサムウェアを展開し、被害者のデータを暗号化し、通常暗号通貨で身代金と復号キーを要求する。
RA Group の活動は、被害者のファイルを暗号化するだけでなく、身代金の要求に応じなければ、盗まれた機密データを公開すると脅すという、二重の恐喝戦術を特徴としています。この手口は、被害者が要求に応じるよう圧力を著しく高めます。
時を経て、RAグループ(現在はRAワールド)はそのテクニックを洗練させ、サイバーセキュリティ・コミュニティで最も恐れられているランサムウェア・グループの1つとなっている。
ターゲット
RAグループの目標
RAグループの対象国
RAグループの標的の多くは米国で、ドイツ、インド、台湾などで発生した攻撃は少なかった。
ソース トレンドマイクロ
RAグループの犠牲者
現在までに86人以上の被害 者がRAグループの悪質な作戦の餌食となっている。
ソース ランサムウェア・ライブ
攻撃方法
RAグループの攻撃手法
RA Groupは、パッチが適用されていないソフトウェアの脆弱性を悪用したり、公開されたリモート・デスクトップ・プロトコル(RDP)を利用したり、フィッシングメールを介して被害者のネットワークに侵入します。
RAグループは、より高いレベルのアクセス権を得るために、ネットワーク内の特権をエスカレートさせる。
RA Worldは、ネットワークの様々な部分にアクセスするためのクレデンシャルを取得し、活用する。
RA Worldは、ネットワーク上を移動する過程で、組織の運営に不可欠な重要システムを特定する。
一旦アクセスを獲得すると、RAワールドは漏洩した認証情報と内部ネットワークツールを使用して、ネットワーク上を横方向に移動する。
カスタムBabukランサムウェアはネットワーク上に展開され、重要なファイルを狙う。
財務記録、個人を特定できる情報(PII)、知的財産などの機密情報がネットワークから流出する。
このランサムウェアは重要なファイルを暗号化し、正規のユーザーがアクセスできないようにする。
初期アクセス
RA Groupは、パッチが適用されていないソフトウェアの脆弱性を悪用したり、公開されたリモート・デスクトップ・プロトコル(RDP)を利用したり、フィッシングメールを介して被害者のネットワークに侵入します。
特権エスカレーション
RAグループは、より高いレベルのアクセス権を得るために、ネットワーク内の特権をエスカレートさせる。
防御回避
クレデンシャル・アクセス
RA Worldは、ネットワークの様々な部分にアクセスするためのクレデンシャルを取得し、活用する。
ディスカバリー
RA Worldは、ネットワーク上を移動する過程で、組織の運営に不可欠な重要システムを特定する。
横の動き
一旦アクセスを獲得すると、RAワールドは漏洩した認証情報と内部ネットワークツールを使用して、ネットワーク上を横方向に移動する。
コレクション
実行
カスタムBabukランサムウェアはネットワーク上に展開され、重要なファイルを狙う。
データ流出
財務記録、個人を特定できる情報(PII)、知的財産などの機密情報がネットワークから流出する。
インパクト
このランサムウェアは重要なファイルを暗号化し、正規のユーザーがアクセスできないようにする。
MITRE ATT&CK マッピング
RAグループが使用したTTP
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出
Vectra AIを使った検知 RAグループ
よくあるご質問(FAQ)
RAグループ/RAワールドとは?
RA Worldとしても知られるRAグループは、高度なランサムウェア攻撃を実行することで知られるサイバー犯罪組織である。彼らは通常、大企業や政府機関を標的としています。
RAグループはどのようにしてネットワークにアクセスするのか?
RA Group は、パッチが適用されていないソフトウェア、公開されたリモート・デスクトップ・プロトコル(RDP)、フィッシング詐欺などの脆弱性を悪用して、標的のネットワークに初期アクセスします。
RA Groupはどのようなランサムウェアを使用していますか?
RA Groupは、感染したシステム上のファイルを暗号化し、復号化キーの身代金を要求するBabukのような亜種を含む、カスタム開発されたランサムウェアを使用することで知られています。
RAグループが要求する典型的な身代金とは?
身代金の金額は、標的と暗号化されたデータの認識価値によって大きく異なり、多くの場合、暗号通貨で支払われる数万ドルから数十万ドルに及ぶ。
RAグループはネットワークに侵入すると、どのように攻撃をエスカレートさせるのか?
RA Groupは通常、最初のアクセス権を獲得した後、漏洩した認証情報と内部ツールを使用して特権をエスカレートさせ、ネットワーク上を横方向に移動して重要なシステムを特定し、侵害します。
RAグループによる二重の恐喝戦術とは?
RA Groupは被害者のデータを暗号化するだけでなく、機密情報も盗み出します。身代金の要求に応じなければ、盗まれたデータを公開すると脅します。
組織はどのようにしてRAグループの攻撃から身を守ることができるのか?
組織は、システムを定期的に更新してパッチを当て、フィッシング意識向上トレーニングを実施し、RDPアクセスを保護し、多要素認証を使用すべきである。Vectra AIのようなAI主導 脅威検知プラットフォームを導入することも、検知 不審な活動への早期対応に役立つ。
RAグループの攻撃の被害に遭った場合、組織は何をすべきなのか。
影響を受けた組織は、感染したシステムを隔離し、インシデントレスポンス および災害復旧計画を開始し、法執行機関にインシデントを報告する必要がある。フォレンジック分析とデータ復旧の可能性のためにサイバーセキュリティの専門家と連携することも望ましい。
RA Groupによって暗号化されたデータは、身代金を支払わずに復元できますか?
身代金を支払うことなくデータを復元できるかどうかは、使用されている特定のランサムウェアの亜種と復号化ツールの有無によって異なります。暗号化されたデータを復元するには、バックアップが最も確実な方法であることが多い。
RAグループの活動にはどのような傾向が見られるか?
RAグループは、価値の高いデータや重要なインフラを持つ組織を標的にすることが増えており、多くの場合、混乱を最大化するタイミングを見計らって攻撃を仕掛けている。彼らの手口は進化を続けており、検知を回避し、成功率を高めるために、より洗練されたテクニックを取り入れています。