Πρόσφατα ανακαλύφθηκε μια νέα ομάδα ransomware με το όνομα “RA Group“, η οποία επιτίθεται σε φαρμακευτικές και ασφαλιστικές εταιρείες, εταιρείες διαχείρισης περιουσίας και κατασκευαστικές εταιρείες στις Ηνωμένες Πολιτείες και τη Νότια Κορέα.
Η νέα επιχείρηση ransomware ξεκίνησε τον Απρίλιο του 2023 με τη δημιουργία ενός ιστότοπου στο dark web, για τη διαρροή στοιχείων των θυμάτων και των κλεμμένων δεδομένων. Οι δράστες ακολουθούν την τακτική του διπλού εκβιασμού, που είναι συνηθισμένη στις περισσότερες συμμορίες ransomware.
Το site εκβιασμού άνοιξε στις 22 Απριλίου 2023, αλλά τα πρώτα θύματα εισήχθησαν στις 27 Απριλίου. Στο site υπάρχει επίσης μια περιγραφή του τύπου περιεχομένου που έχουν κλαπεί και σύνδεσμοι με κλεμμένα δεδομένα.
Δείτε επίσης: ABB: Η πολυεθνική “χτυπήθηκε” από το Black Basta ransomware
Στη νέα έκθεση της Cisco Talos, αναφέρεται ότι η RA Group χρησιμοποιεί έναν encryptor που βασίζεται στον source code του ransomware Babuk που είχε διαρρεύσει.
Την περασμένη εβδομάδα, η Sentinel Labs ανέφερε ότι τουλάχιστον εννέα διαφορετικές επιχειρήσεις ransomware χρησιμοποιούν τον source code του Babuk που διέρρευσε σε ένα ρωσόφωνο hacking φόρουμ τον Σεπτέμβριο του 2021.
Πέρα από τις ομάδες που αναφέρει η Sentinel Labs, η Cisco Talos αναφέρει επίσης τα Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0 και ESXiArgs ως χρήστες του κώδικα του Babuk.
RA Group ransomware
Ένα αξιοσημείωτο χαρακτηριστικό της ομάδας RA Group είναι ότι κάθε επίθεση περιλαμβάνει ένα προσαρμοσμένο σημείωμα λύτρων, γραμμένο ειδικά για τον οργανισμό-θύμα. Αξίζει ακόμα να αναφερθεί ότι και το εκτελέσιμο αρχείο φέρει επίσης το όνομα του θύματος.
Το ransomware στοχεύει όλα τα logical drives στο μηχάνημα και network shares του θύματος και προσπαθεί να κρυπτογραφήσει συγκεκριμένους φακέλους, εξαιρουμένων αυτών που σχετίζονται με τα Windows system, boot, Program Files κ.λπ. Αυτό γίνεται για να αποφευχθεί η αχρηστία του συστήματος του θύματος. Αν δημιουργηθεί τέτοιο πρόβλημα, το θύμα δεν θα μπορεί να πληρώσει λύτρα.
Δείτε επίσης: Το Royal ransomware επεκτείνει γρήγορα τη βασιλεία του
Ο κρυπτογραφητής της ομάδας ransomware RA Group χρησιμοποιεί intermittent encryption για να επιταχύνει την κρυπτογράφηση ενός αρχείου. Ωστόσο, αυτή η προσέγγιση μπορεί να είναι επικίνδυνη, καθώς επιτρέπει τη μερική ανάκτηση ορισμένων δεδομένων από αρχεία.
Κατά την κρυπτογράφηση δεδομένων, ο κρυπτογραφητής χρησιμοποιεί curve25519 και eSTREAM cipher hc-128 algorithms.
Στα κρυπτογραφημένα αρχεία προστίθεται η επέκταση αρχείου “.GAGUP“, ενώ όλα τα volume shadow copies και τα περιεχόμενα του Κάδου Ανακύκλωσης διαγράφονται για να αποτραπεί η εύκολη επαναφορά δεδομένων.
Το σημείωμα λύτρων που αφήνει το ransomware στην οθόνη του θύματος ονομάζεται “How To Restore Your Files.txt” και απαιτεί από το θύμα να χρησιμοποιήσει το qTox messenger για να επικοινωνήσει και να διαπραγματευτεί με τους επιτιθέμενους. Εκεί, υπάρχει και ένας σύνδεσμος προς ένα repository που περιέχει αρχεία που έχουν κλαπεί από το θύμα.
Οι φορείς απειλών ισχυρίζονται ότι δίνουν στα θύματα τρεις ημέρες πριν από τη δημοσίευση δείγματος κλεμμένων δεδομένων, αλλά όπως και άλλες επιχειρήσεις ransomware, αυτό είναι πιθανό να είναι ανοιχτό για διαπραγμάτευση.
Δείτε επίσης: Οι προσπάθειες αναχαίτισης των ransomware αρχίζουν να αποδίδουν καρπούς
Όπως είπαμε και παραπάνω, η ransomware επιχείρηση RA Group είναι καινούρια και γι’ αυτό το λόγο δεν γνωρίζουμε ακριβώς πώς επιτίθεται στα θύματα, πώς παραβιάζει τα συστήματα και πώς εξαπλώνεται στο δίκτυο.
Η απειλή του ransomware είναι πολύ μεγάλη και μπορεί να επηρεάσει όλους όσους χρησιμοποιούν έναν υπολογιστή. Ωστόσο, με κάποια βασικά μέτρα προστασίας, μπορείς να μειώσεις τον κίνδυνο αυτόν. Μην ανοίγεις άγνωστα email, μην πατάς σε αμφίβολες διαφημίσεις και να χρησιμοποιείς ισχυρούς κωδικούς πρόσβασης στους λογαριασμούς σου. Επίσης, βεβαιώσου ότι το λογισμικό σου και το λειτουργικό σου σύστημα είναι ενημερωμένα και πάντα έχε το antivirus ανοιχτό.
Πηγή: www.bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/465100/ra-group-ransomware-stoxeuei-etaireies-se-ipa-notia-korea/&media=https://www.secnews.gr/wp-content/uploads/2022/11/ransomware-min.png&description=Πρόσφατα ανακαλύφθηκε μια νέα ομάδα ransomware με το όνομα "RA Group", η οποία επιτίθεται σε φαρμακευτικές και ασφαλιστικές εταιρείες){kind=link}