Um novo grupo de ransomware chamado 'RA Group' está direcionando empresas farmacêuticas, de seguros, de gestão de riqueza e de manufatura nos Estados Unidos e na Coreia do Sul.
A nova operação de ransomware começou em abril de 2023, quando eles lançaram um site de vazamento de dados na dark web para publicar detalhes das vítimas e dados roubados, utilizando a tática típica de 'dupla extorsão' usada pela maioria dos grupos de ransomware.
Embora o portal de extorsão tenha sido lançado em 22 de abril de 2023, o primeiro lote de organizações vitimizadas foi publicado em 27 de abril, incluindo arquivos de amostra, uma descrição do tipo de conteúdo que foi roubado e links para dados roubados.
Em um novo relatório da Cisco Talos, os pesquisadores explicam que o RA Group usa um criptografador baseado no código-fonte vazado do ransomware Babuk, uma operação de ransomware que encerrou em 2021.
Na semana passada, a Sentinel Labs relatou que pelo menos nove operações distintas de ransomware estão usando o código-fonte do Babuk que foi vazado em um fórum de hackers de língua russa em setembro de 2021, pois dá aos atores ameaçadores uma maneira fácil de expandir seu escopo para cobrir Linux e VMware ESXi.
Além dos grupos de ransomware citados no relatório da Sentinel Labs como usuários do Babuk, a Cisco Talos também menciona Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0 e ESXiArgs.
Uma característica notável do RA Group é que cada ataque apresenta uma nota de resgate personalizada escrita especificamente para a organização alvo, enquanto o executável também é nomeado após a vítima.
O ransomware visa todas as unidades lógicas na máquina da vítima e compartilhamentos de rede e tenta criptografar pastas específicas, excluindo aquelas relacionadas ao sistema Windows, boot, Program Files, etc.
Isso é para evitar tornar o sistema da vítima inutilizável, tornando improvável que receba um pagamento de resgate.
O criptografador do RA Group usa criptografia intermitente, alternando entre criptografar e não criptografar seções de um arquivo para acelerar a criptografia de um arquivo.
No entanto, essa abordagem pode ser arriscada, pois permite que alguns dados sejam parcialmente recuperados dos arquivos.
Ao criptografar dados, o criptografador usará os algoritmos curve25519 e eSTREAM cipher hc-128.
Os arquivos criptografados são adicionados à extensão de nome de arquivo ".GAGUP", enquanto todas as cópias de sombra do volume e o conteúdo da Lixeira são apagados para evitar uma fácil restauração de dados.
A nota de resgate deixada no sistema da vítima é nomeada 'Como Restaurar Seus Arquivos.txt' e requer que a vítima use o mensageiro qTox para entrar em contato com os atores ameaçadores e negociar um resgate.
A nota também inclui um link para um repositório contendo arquivos roubados da vítima como prova do vazamento de dados.
Os atores ameaçadores afirmam dar às vítimas três dias antes que uma amostra de dados roubados seja publicada em sites de extorsão, mas, como outras operações de ransomware, isso provavelmente está aberto a negociação.
Como esta é uma operação de ransomware relativamente nova, com apenas algumas vítimas, não está claro como eles invadem sistemas e se espalham lateralmente em uma rede.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...