Un nuevo grupo de ransomware conocido como RA Group se ha convertido en la última amenaza en aprovechar el código fuente filtrado del ransomware Babuk para crear su propia variante.
La banda de ciberdelincuentes, que se dice que ha estado operando desde al menos el 22 de abril de 2023, está expandiendo rápidamente sus operaciones, según la firma de ciberseguridad Cisco Talos.
RA Group no difiere de otras bandas de ransomware en que lanza ataques de doble extorsión y gestiona un sitio de filtración de fechas para presionar aún más a las víctimas para que paguen rescates.
El binario basado en Windows emplea un cifrado intermitente para acelerar el proceso y eludir la detección, por no hablar de borrar las instantáneas de volumen y el contenido de la papelera de reciclaje de la máquina.
RA Group utiliza notas de rescate personalizadas, que incluyen el nombre de la víctima y un enlace único para descargar las pruebas de exfiltración”, explicó Raghuprasad. “Si la víctima no se pone en contacto con los actores en un plazo de tres días, el grupo filtra los archivos de la víctima.
También toma medidas para evitar el cifrado de archivos y carpetas del sistema mediante una lista codificada que permite a las víctimas descargarse la aplicación de chat qTox y ponerse en contacto con los operadores utilizando el ID de qTox proporcionado en la nota de rescate.
Lo que diferencia a RA Group de otras operaciones de ransomware es que el actor de la amenaza también ha sido observado vendiendo los datos exfiltrados de la víctima en su portal de fugas alojando la información en un sitio TOR seguro.
El hecho se produce menos de una semana después de que SentinelOne revelara que los actores de amenazas de diversa sofisticación y experiencia están adoptando cada vez más el código del ransomware Babuk para desarrollar una docena de variantes capaces de atacar sistemas Linux.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian