Nova ransomware grupa poznata kao RA Group postala je najnoviji haker koji je iskoristio procureli izvorni kod Babuk ransomware-a za stvaranje vlastite varijante locker-a.
Grupa kibernetičkih kriminalaca, za koju se navodi da djeluje najmanje od 22. aprila 2023. godine, ubrzano širi svoje operacije, prema kompaniji za kibernetičku bezbjednost Cisco Talos.
“Do danas, grupa je kompromitovala tri organizacije u SAD-u i jednu u Južnoj Koreji u nekoliko poslovnih vertikala, uključujući proizvodnju, upravljanje bogatstvom, osiguravajuće kompanije i farmaceutske proizvode” rekao je istraživač bezbjednosti Chetan Raghuprasad u izvještaju koji je podijeljen za The Hacker News.
RA Group se ne razlikuje od drugih ransomware bandi po tome što pokreće napade dvostruke iznude i vodi stranicu za curenje datuma kako bi izvršila dodatni pritisak na žrtve da plate otkup.
Binarni sistem zasnovan na Windows-u koristi povremeno šifrovanje da ubrza proces i izbegne otkrivanje, a da ne spominjemo brisanje sjenčanih kopija volumena i sadržaja korpe za smeće mašine.
“RA Grupa koristi prilagođene bilješke o otkupnini, uključujući ime žrtve i jedinstvenu vezu za preuzimanje dokaza o eksfiltraciji” objasnio je Raghuprasad. “Ako žrtva ne kontaktira glumce u roku od tri dana, grupa propušta dosije žrtve.”
Takođe preduzima korake da izbjegne šifrovanje sistemskih datoteka i fascikli pomoću hard kodirane liste, tako da omogući žrtvama da preuzmu qTox aplikaciju za ćaskanje i dopru do operatera koristeći qTox ID koji je naveden u obavještenju o otkupnini.
Ono što RA Group razlikuje od drugih ransomware grupa je to što je haker takođe primijećen kako prodaje eksfiltrovane podatke žrtve na svom portalu za curenje informacija tako što je hostovao informacije na zaštićenoj TOR stranici.
Razvoj dolazi manje od nedelju dana nakon što je SentinelOne otkrio da hakeri različite sofistikovanosti i stručnosti sve više usvajaju Babuk ransomware kod kako bi razvili desetak varijanti koje su u stanju ciljati Linux sisteme.
“Primjetan je trend da hakeri sve više koriste Babuk builder za razvoj ESXi i Linux ransomware-a”, rekla je firma za kibernetičku bezbjednost. “Ovo je posebno vidljivo kada ga koriste hakeri sa manje resursa, jer je manja vjerovatnoća da će ovi hakeri značajno modifikovati Babuk izvorni kod.”
Drugi ransomware hakeri koji su usvojili Babuk izvorni kod tokom prošle godine su AstraLocker i Nokoyawa. Cheerscrypt, još jedna vrsta ransomware-a bazirana na Babuku, povezana je s kineskim špijunskim hakerom po imenu Emperor Dragonfly koji je poznat po vođenju kratkotrajnih ransomware shema kao što su Rook, Night Sky i Pandora.
Nalazi takođe prate otkriće još dva nova soja ransomware-a kodnih naziva Rancoz i BlackSuit, od kojih je poslednji dizajniran da cilja i Windows i VMware ESXi servere.
„Stalna evolucija i objavljivanje novih varijanti ransomware-a naglašava napredne vještine i agilnost hakera, što ukazuje na to da oni reaguju na mjere kibernetičke bezbjednosti i provjere koje se provode i prilagođavaju svoj ransomware u skladu s tim“ rekao je Cyble.
Izvor: The Hacker News
