RA Group adlı yeni keşfedilen bir fidye yazılımı çetesi, sızan Babuk kaynak kodundan yararlanan tehdit aktörlerinin en sonuncusu olan siber saldırılarını artırıyor. Ancak grup, son derece özelleştirilmiş bir yaklaşımla kendisini Babuk sürüsünün geri kalanından ayırıyor.
Cisco Talos’un bu hafta yaptığı bir analize göre, RA Group 22 Nisan’da mağaza açtı ve o zamandan beri operasyonlarını hızla genişletiyor. Şimdiye kadar ABD ve Güney Kore’de imalat, servet yönetimi, sigorta ve ilaç endüstrilerindeki kuruluşların peşine düştü.
Arka plan olarak, Babuk fidye yazılımının tam kaynak kodu Eylül 2021’de çevrimiçi olarak sızdırıldı ve o zamandan beri birkaç yeni tehdit aktörü bunu fidye yazılımı işine girmek için kullandı. Özellikle birkaç kişi bunu VMware ESXi hipervizörleri için kilitli dolaplar geliştirmek için kullandı — geçen yıl içinde 10 farklı fidye yazılımı ailesi bu yolu izledi.
Diğerleri, Microsoft Exchange, Struts, WordPress, Atlassian Confluence, Oracle WebLogic Server, SolarWinds Orion, Liferay ve diğerlerinde bulunanlar da dahil olmak üzere bilinen birçok güvenlik açığından yararlanmak için oluşturulmuş olmasından yararlanarak kodu başka şekillerde özelleştirdiler.
KnowBe4’te güvenlik bilinci savunucusu Erich Kron, e-postayla gönderilen bir yorumda, “Başkaları tarafından yazılan ve sızdırılan kodu yeniden kullanarak, bu gruplar geliştirme sürelerini önemli ölçüde kısaltıyor ve hatta muhtemelen başka türlü kendilerinin oluşturamayacakları özellikleri dahil ediyorlar” dedi.
Son birkaç yılda, özellikle hizmet olarak fidye yazılımı (RaaS) tekliflerinin popüler hale gelmesinden sonra, siber suç ve şantaj oyununda oynamak için teknik bir mucize olmanız gerekmediği çok açık hale geldi. Bir abonelik yoluyla veya bunun gibi sızıntılar yoluyla başkalarının kodunu kullanmak, küçük değişikliklerle hemen hemen herkesin saldırı gerçekleştirmesini sağlayabilir.”
RA Group’un Babuk’a Eşsiz Yaklaşımı
RA Group’un durumunda, kurban fidyeyi ödemezse çalınan verileri sızdırmakla tehdit ettiği tipik bir çifte gasp modeli kullanıyor; ancak fidye notuna göre kurbanların ödeme yapmak için yalnızca üç günleri var.
Grubun kullandığı bilinen oyun kitaplarında yapılan tek ince ayar bu değil. Cisco Talos’a göre “RA Group, sızıntı sitelerinde kurbanın kuruluşunun adını, sızdırılmış verilerinin bir listesini ve toplam boyutunu ve diğer fidye yazılımı gruplarının sızıntı sitelerinde tipik olan kurbanın resmi URL’sini açıklıyor.” fidye yazılımı grubunun analizi. Ama bir bükülmede, “RA Group ayrıca, kurbanların sızan verilerini güvenli bir Tor sitesinde barındırarak, kurbanın sızdırılmış verilerini kendi sızıntı sitelerinde satıyor.”
RA Group’un fidye yazılımı konusundaki yaklaşımına rağmen, tehdide karşı savunma söz konusu olduğunda temel bilgiler etkili olmaya devam ediyor: Kuruluşlar, ortamlarının yamalanmış ve güncel olduğundan emin olmalı, ağlarını kötü niyetli faaliyet belirtilerine karşı sürekli olarak izlemeli (ve güvenlik araçlarının en son güvenlik ihlali göstergeleriyle güncellenir) ve başarılı bir saldırı durumunda etkili yedekleme ve kurtarma prosedürlerine sahip olduklarından emin olun.