Yeni bir fidye yazılımı (yeni sekmede açılır) eşit derecede büyük ödemeler umuduyla büyük işletmeleri hedef alan bir tehdit aktörü tespit edildi.
Talos’tan siber güvenlik araştırmacıları, görünüşe göre eski üyelerinden biri tarafından daha önce sızdırılmış olan Babuk kaynak kodunu kullanarak Nisan 2023’te faaliyetlerine başlayan RA Group adlı bir tehdit aktörünü ortaya çıkardı.
Grup şimdiye kadar ABD’de üç ve Güney Kore’de bir örgüte başarıyla saldırdı. Kurbanlar imalat, servet yönetimi, sigorta ve eczacılık sektörlerinde olduğu için bir endüstri tercihi yok gibi görünüyor.
RA Group hakkında özellikle benzersiz olan hiçbir şey yoktur. Kurbanları fidye talebini ödemeye motive etme umuduyla, sistemleri şifrelerken hassas verileri çalan çifte gasp saldırıları başlatır. Grup hala kozmetik değişiklikler yaptığından, web sitesi devam eden bir çalışma gibi görünüyor. Verileri sızdırdığında, kurbanın adını, çalınan verilerin bir listesini, toplam boyutunu ve kurbanın web sitesini ifşa eder.
Fidye notunun her bir kurban için kişiselleştirildiğini ekleyen araştırmacılar, bunun da fidye yazılımı tehdit aktörleri arasında standart bir uygulama olduğunu iddia ediyor. Bununla birlikte, standart uygulama olmayan şey, infaz dosyalarında da kurbanların isimlerini vermektir.
Kötü amaçlı yazılım, daha hızlı hareket etmek için dosyaların yalnızca bazı kısımlarını şifreler. Şifreleme tamamlandıktan sonra dosyalar .GAGUP uzantısını alır. Fidye yazılımı daha sonra gölge kopyaları işlemek için kullanılan bir yönetim aracı olan yerel Windows ikili vssadmin.exe dosyasını yürüterek API SHEmptyRecyclebinA ile birlikte Çöp Kutusundaki her şeyi ve birim gölge kopyayı siler.
Fidye yazılımı, yine de tüm dosyaları şifrelemez. Bazıları, mağdurların grupla daha kolay iletişim kurabilmeleri için erişilebilir bırakılmıştır. Şifrelenmemiş dosyalar, kurbanların saldırganlara ulaşmak için kullanılan qTox uygulamasını indirmeleri için gereklidir.