TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

トップ > Ransomware: RA World / Emperor Dragonfly / Bronze Starlight > RA Group から RA World へ: ランサムウェア グループの進化

RA Group から RA World へ: ランサムウェア グループの進化

Ransomware: RA World / Emperor Dragonfly / Bronze Starlight

【図表】


RA World の被害を受けた組織をセクター別に示した棒グラフ (同グループのダーク ウェブ リーク サイトへの投稿に基づく)

改訂された RA World の身代金要求メモ

2024 年初頭の RA World リーク サイトのメイン ページ

RA World の現在のリーク サイトのメイン ページ

RA World のリーク サイト下部にある関連 X 検索への参照

RA World のリーク サイトにある被害組織の Web ページ例

RA World リーク サイトの最新バージョン上にある被害組織の「Coming Soon… (近日公開…)」Web ページの例

複数のコマンド実行試行の防止を Cortex XDR で表示したところ

検出モードの Cortex XDR で悪意のある WMI のアクティビティを検出したさいに上がったアラートを表示したところ

Stage1.exe からのコード スニペット。ファイルの除外やドメイン コントローラーに関する情報の収集が含まれている

防止のアラートと説明

検出モードの Cortex XDR 上で Babuk ランサムウェア ペイロードの検出を確認したところ

検出モードの Cortex XDR 上で Babuk ランサムウェア ペイロードの防止アラートを確認したところ

RA World のローダー マルウェア亜種に含まれていたローカル IP アドレスの文字列。テストをしていたものか

VirusTotal の提供者の情報。このローダー ファイルをアップロードしたのはこの 1 名のみ

RA World のコードに見られたタイプミスの例 1 つめ

RA World のコードに見られたタイプミスの例 2 つめ
出典: https://unit42.paloaltonetworks.jp/ra-world-ransomware-group-updates-tool-set/


【ブログ】

◆RA Group から RA World へ: ランサムウェア グループの進化 (UNIT42, 2024/07/22)
https://unit42.paloaltonetworks.jp/ra-world-ransomware-group-updates-tool-set/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023