Un nouveau groupe de ransomware connu sous le nom de Groupe RA est devenu le dernier acteur menaçant à exploiter le code source du rançongiciel Babuk divulgué pour créer sa propre variante de casier.
Le gang cybercriminel, qui opérerait depuis au moins le 22 avril 2023, étend rapidement ses opérations, selon la société de cybersécurité Cisco Talos.
« À ce jour, le groupe a compromis trois organisations aux États-Unis et une en Corée du Sud dans plusieurs secteurs verticaux, notamment la fabrication, la gestion de patrimoine, les assureurs et les produits pharmaceutiques », a déclaré le chercheur en sécurité Chetan Raghuprasad dans un communiqué. rapport partagé avec The Hacker News.
RA Group n’est pas différent des autres gangs de rançongiciels en ce sens qu’il lance des attaques à double extorsion et gère un site de fuite de données pour exercer une pression supplémentaire sur les victimes afin qu’elles paient des rançons.
Le binaire basé sur Windows utilise cryptage intermittent pour accélérer le processus et échapper à la détection, sans parler de supprimer les clichés instantanés de volume et le contenu de la corbeille de la machine.
« RA Group utilise des notes de rançon personnalisées, y compris le nom de la victime et un lien unique pour télécharger les preuves d’exfiltration », a expliqué Raghuprasad. « Si la victime ne parvient pas à contacter les acteurs dans les trois jours, le groupe divulgue les dossiers de la victime. »
Il prend également des mesures pour éviter de crypter les fichiers et dossiers système au moyen d’une liste codée en dur afin de permettre aux victimes de télécharger l’application de chat qTox et de contacter les opérateurs à l’aide de l’ID qTox fourni sur la demande de rançon.
Le développement intervient moins d’une semaine après que SentinelOne a révélé que des acteurs de la menace de sophistication et d’expertise variables sont adoptant de plus en plus le code du rançongiciel Babuk pour développer une douzaine de variantes capables de cibler les systèmes Linux.
« Il y a une tendance notable selon laquelle les acteurs utilisent de plus en plus le constructeur Babuk pour développer des rançongiciels ESXi et Linux », a déclaré la société de cybersécurité. « Cela est particulièrement évident lorsqu’il est utilisé par des acteurs disposant de moins de ressources, car ces acteurs sont moins susceptibles de modifier de manière significative le code source de Babuk. »
Apprenez à arrêter les ransomwares avec une protection en temps réel
Rejoignez notre webinaire et découvrez comment arrêter les attaques de ransomwares dans leur élan grâce à la MFA en temps réel et à la protection des comptes de service.
AstraLocker et Nokoyawa. Cheerscrypt, une autre souche de ransomware basée sur Babuk, a été liée à un acteur d’espionnage chinois appelé Emperor Dragonfly, connu pour avoir exploité des programmes de ransomware de courte durée tels que Rook, Night Sky et Pandora.
Les résultats font également suite à la découverte de deux autres nouvelles souches de rançongiciels portant le nom de code Rancoz et Costume noirce dernier étant conçu pour cibler à la fois les serveurs Windows et VMware ESXi.
« L’évolution constante et la publication de nouvelles variantes de ransomware mettent en évidence les compétences avancées et l’agilité de [threat actors]indiquant qu’ils réagissent aux mesures et vérifications de cybersécurité mises en œuvre et personnalisent leur rançongiciel en conséquence », a déclaré Cyble.