Новая программа-вымогатель (откроется в новой вкладке) Было обнаружено, что злоумышленник атакует крупные компании в надежде на столь же крупные выплаты.
Исследователи кибербезопасности Talos обнаружили злоумышленника, получившего название RA Group, который начал свою деятельность в апреле 2023 года, используя исходный код Babuk, ранее, по-видимому, просочившийся одним из его бывших членов.
На данный момент группа успешно атаковала три организации в США и одну в Южной Корее. По-видимому, не было никаких отраслевых предпочтений, поскольку жертвы работали в сфере производства, управления капиталом, страхования и фармацевтики.
Персонализированные заметки о выкупе
В RA Group нет ничего особенного. Он запускает атаки с двойным выкупом и крадет конфиденциальные данные, шифруя системы, надеясь мотивировать жертв заплатить выкуп. Сайт, похоже, находится в стадии разработки, так как группа все еще вносит косметические изменения. Если данные раскрываются, раскрываются имя жертвы, список украденных данных, общий размер и веб-сайт жертвы.
Исследователи добавили, что записка с требованием выкупа персонализируется для каждой отдельной жертвы, утверждая, что это также является обычной практикой среди участников программ-вымогателей. Однако необычно то, что имена жертв также указываются в исполняемых файлах.
Вредоносное ПО шифрует только части файлов, чтобы двигаться быстрее. После завершения шифрования файлам присваивается расширение .GAGUP. Затем программа-вымогатель удаляет все в корзине с помощью SHEmptyRecyclebinA API, а также теневую копию тома, запуская локальный двоичный файл Windows vssadmin.exe, инструмент управления редактированием теневой копии.
Однако программа-вымогатель не шифрует все файлы. Некоторые остаются доступными, чтобы жертвам было легче связаться с группой. Незашифрованные файлы необходимы жертвам для загрузки приложения qTox, которое они могут использовать для связи со злоумышленниками.
