Un nuevo grupo de ransomware conocido como Grupo AR se ha convertido en el último actor de amenazas en aprovechar el código fuente del ransomware Babuk filtrado para generar su propia variante de casillero.
La pandilla de ciberdelincuentes, que se dice que ha estado operando desde al menos el 22 de abril de 2023, está expandiendo rápidamente sus operaciones, según la firma de ciberseguridad Cisco Talos.
«Hasta la fecha, el grupo ha comprometido a tres organizaciones en los EE. UU. y una en Corea del Sur en varias verticales comerciales, que incluyen fabricación, gestión de patrimonio, proveedores de seguros y productos farmacéuticos», dijo el investigador de seguridad Chetan Raghuprasad en un comunicado. informe compartido con The Hacker News.
RA Group no se diferencia de otras pandillas de ransomware en que lanza ataques de doble extorsión y ejecuta un sitio de fuga de datos para aplicar presión adicional a las víctimas para que paguen los rescates.
El binario basado en Windows emplea cifrado intermitente para acelerar el proceso y evadir la detección, sin mencionar la eliminación de instantáneas de volumen y el contenido de la Papelera de reciclaje de la máquina.
«RA Group usa notas de rescate personalizadas, incluido el nombre de la víctima y un enlace único para descargar las pruebas de exfiltración», explicó Raghuprasad. «Si la víctima no se pone en contacto con los actores dentro de los tres días, el grupo filtra los archivos de la víctima».
También toma medidas para evitar el cifrado de archivos y carpetas del sistema por medio de una lista codificada para que permita a las víctimas descargar la aplicación de chat qTox y comunicarse con los operadores utilizando la ID de qTox proporcionada en la nota de rescate.
Lo que distingue a RA Group de otras operaciones de ransomware es que también se ha observado que el actor de amenazas vende los datos extraídos de la víctima en su portal de fugas al alojar la información en un sitio TOR seguro.
El desarrollo se produce menos de una semana después de que SentinelOne revelara que los actores de amenazas de diversa sofisticación y experiencia están adoptando cada vez más el código del ransomware Babuk para desarrollar una docena de variantes que son capaces de apuntar a los sistemas Linux.
«Hay una tendencia notable de que los actores usan cada vez más el constructor Babuk para desarrollar ransomware ESXi y Linux», dijo la firma de seguridad cibernética. «Esto es particularmente evidente cuando lo utilizan actores con menos recursos, ya que es menos probable que estos actores modifiquen significativamente el código fuente de Babuk».
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Otros actores de ransomware que han adoptado el código fuente de Babuk durante el año pasado incluyen AstraLocker y Nokoyawa. Cheerscrypt, otra cepa de ransomware basada en Babuk, se ha relacionado con un actor de espionaje chino llamado Emperor Dragonfly que es conocido por operar esquemas de ransomware de corta duración como Rook, Night Sky y Pandora.
Los hallazgos también siguen al descubrimiento de otras dos nuevas cepas de ransomware con nombre en código Rancoz y Traje negroel último de los cuales está diseñado para apuntar a servidores Windows y VMware ESXi.
«La evolución constante y el lanzamiento de nuevas variantes de ransomware resaltan las habilidades avanzadas y la agilidad de [threat actors]lo que indica que están respondiendo a las medidas de ciberseguridad y los controles que se están implementando y personalizando su ransomware en consecuencia», dijo Cyble.