یک گروه باجافزار جدید به نام RA Group به جدیدترین عامل تهدیدی تبدیل شده است که از کد منبع باجافزار فاش شده Babuk برای تولید نوع قفل خود استفاده میکند.
به گفته شرکت امنیت سایبری Cisco Talos، این باند مجرمان سایبری، که گفته میشود حداقل از 22 آوریل 2023 فعالیت میکند، به سرعت در حال گسترش فعالیتهای خود است.
چتان راگوپراساد، محقق امنیتی، در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «تا به امروز، این گروه سه سازمان در ایالات متحده و یک سازمان در کره جنوبی را در چندین بخش تجاری، از جمله تولید، مدیریت ثروت، ارائه دهندگان بیمه و داروها به خطر انداخته است.
گروه RA هیچ تفاوتی با سایر باج افزارهای باج افزار ندارد زیرا حملات اخاذی مضاعف را راه اندازی می کند و یک سایت افشای تاریخ را برای اعمال فشار بیشتر بر قربانیان برای پرداخت باج راه اندازی می کند.
باینری مبتنی بر ویندوز از رمزگذاری متناوب برای سرعت بخشیدن به فرآیند و فرار از تشخیص استفاده میکند.
راگوپراساد توضیح داد: "گروه RA از یادداشت های باج سفارشی، از جمله نام قربانی و یک لینک منحصر به فرد برای دانلود مدارک نفوذ استفاده می کند." اگر قربانی نتواند ظرف سه روز با بازیگران تماس بگیرد، گروه پروندههای قربانی را فاش میکند.»
همچنین اقداماتی را انجام میدهد تا از رمزگذاری فایلها و پوشههای سیستم با استفاده از فهرستی سختکد شده جلوگیری کند تا به قربانیان اجازه دهد برنامه چت qTox را دانلود کنند و با استفاده از شناسه qTox ارائهشده در یادداشت باج به اپراتورها دسترسی پیدا کنند.
چیزی که RA Group را از سایر عملیات باج افزار متمایز می کند این است که عامل تهدید نیز مشاهده شده است که داده های استخراج شده قربانی را در پورتال نشت خود با میزبانی اطلاعات در یک سایت امن TOR می فروشد.
این توسعه کمتر از یک هفته پس از آن صورت میگیرد که SentinelOne فاش کرد که عوامل تهدید با پیچیدگیها و تخصصهای مختلف به طور فزایندهای از کد باجافزار Babuk برای توسعه دهها نوع که قادر به هدف قرار دادن سیستمهای لینوکس هستند، استفاده میکنند.
این شرکت امنیت سایبری گفت: "روند قابل توجهی وجود دارد که بازیگران به طور فزاینده ای از سازنده Babuk برای توسعه باج افزار ESXi و Linux استفاده می کنند." این امر به ویژه هنگامی که توسط بازیگرانی با منابع کمتر استفاده می شود مشهود است، زیرا این بازیگران احتمال کمتری دارند که کد منبع بابوک را به طور قابل توجهی تغییر دهند.
دیگر بازیگران باجافزاری که در سال گذشته کد منبع Babuk را پذیرفتهاند عبارتند از AstraLocker و Nokoyawa. Cheerscrypt، نوع دیگری از باج افزار مبتنی بر Babuk، با یک بازیگر جاسوسی چینی به نام Emperor Dragonfly مرتبط شده است که به دلیل اجرای طرح های باج افزار کوتاه مدت مانند Rook، Night Sky و Pandora شناخته شده است.
این یافتهها همچنین به دنبال کشف دو نوع باجافزار جدید دیگر با نامهای رمز Rancoz و BlackSuit است، که دومی برای هدف قرار دادن سرورهای Windows و VMware ESXi طراحی شده است.
Cyble گفت: «تکامل و انتشار مداوم گونههای باجافزار جدید، مهارتها و چابکی پیشرفته [بازیگران تهدید] را برجسته میکند و نشان میدهد که آنها به اقدامات و بررسیهای امنیت سایبری در حال اجرا پاسخ میدهند و باجافزار خود را بر این اساس سفارشی میکنند.»
به گفته شرکت امنیت سایبری Cisco Talos، این باند مجرمان سایبری، که گفته میشود حداقل از 22 آوریل 2023 فعالیت میکند، به سرعت در حال گسترش فعالیتهای خود است.
چتان راگوپراساد، محقق امنیتی، در گزارشی که با The Hacker News به اشتراک گذاشته شده است، گفت: «تا به امروز، این گروه سه سازمان در ایالات متحده و یک سازمان در کره جنوبی را در چندین بخش تجاری، از جمله تولید، مدیریت ثروت، ارائه دهندگان بیمه و داروها به خطر انداخته است.
گروه RA هیچ تفاوتی با سایر باج افزارهای باج افزار ندارد زیرا حملات اخاذی مضاعف را راه اندازی می کند و یک سایت افشای تاریخ را برای اعمال فشار بیشتر بر قربانیان برای پرداخت باج راه اندازی می کند.
باینری مبتنی بر ویندوز از رمزگذاری متناوب برای سرعت بخشیدن به فرآیند و فرار از تشخیص استفاده میکند.
راگوپراساد توضیح داد: "گروه RA از یادداشت های باج سفارشی، از جمله نام قربانی و یک لینک منحصر به فرد برای دانلود مدارک نفوذ استفاده می کند." اگر قربانی نتواند ظرف سه روز با بازیگران تماس بگیرد، گروه پروندههای قربانی را فاش میکند.»
همچنین اقداماتی را انجام میدهد تا از رمزگذاری فایلها و پوشههای سیستم با استفاده از فهرستی سختکد شده جلوگیری کند تا به قربانیان اجازه دهد برنامه چت qTox را دانلود کنند و با استفاده از شناسه qTox ارائهشده در یادداشت باج به اپراتورها دسترسی پیدا کنند.
چیزی که RA Group را از سایر عملیات باج افزار متمایز می کند این است که عامل تهدید نیز مشاهده شده است که داده های استخراج شده قربانی را در پورتال نشت خود با میزبانی اطلاعات در یک سایت امن TOR می فروشد.
این توسعه کمتر از یک هفته پس از آن صورت میگیرد که SentinelOne فاش کرد که عوامل تهدید با پیچیدگیها و تخصصهای مختلف به طور فزایندهای از کد باجافزار Babuk برای توسعه دهها نوع که قادر به هدف قرار دادن سیستمهای لینوکس هستند، استفاده میکنند.
این شرکت امنیت سایبری گفت: "روند قابل توجهی وجود دارد که بازیگران به طور فزاینده ای از سازنده Babuk برای توسعه باج افزار ESXi و Linux استفاده می کنند." این امر به ویژه هنگامی که توسط بازیگرانی با منابع کمتر استفاده می شود مشهود است، زیرا این بازیگران احتمال کمتری دارند که کد منبع بابوک را به طور قابل توجهی تغییر دهند.
دیگر بازیگران باجافزاری که در سال گذشته کد منبع Babuk را پذیرفتهاند عبارتند از AstraLocker و Nokoyawa. Cheerscrypt، نوع دیگری از باج افزار مبتنی بر Babuk، با یک بازیگر جاسوسی چینی به نام Emperor Dragonfly مرتبط شده است که به دلیل اجرای طرح های باج افزار کوتاه مدت مانند Rook، Night Sky و Pandora شناخته شده است.
این یافتهها همچنین به دنبال کشف دو نوع باجافزار جدید دیگر با نامهای رمز Rancoz و BlackSuit است، که دومی برای هدف قرار دادن سرورهای Windows و VMware ESXi طراحی شده است.
Cyble گفت: «تکامل و انتشار مداوم گونههای باجافزار جدید، مهارتها و چابکی پیشرفته [بازیگران تهدید] را برجسته میکند و نشان میدهد که آنها به اقدامات و بررسیهای امنیت سایبری در حال اجرا پاسخ میدهند و باجافزار خود را بر این اساس سفارشی میکنند.»