O ‘Grupo RA’ é uma organização de ransomware recentemente surgida que está atacando ativamente as seguintes empresas nos Estados Unidos e na Coreia do Sul:-
- Companhias farmaceuticas
- Seguradoras
- Empresas de gestão de patrimônio
- Companhias de manutafuramento
Pesquisadores de segurança cibernética da Cisco Talos observado eles empregam a técnica comum de “dupla extorsão”, estabelecendo um site de vazamento de dados na dark web para divulgar informações comprometidas e obrigar as vítimas a pagar o resgate.
Grupo de hackers RA
Depois de ficar online em 22 de abril de 2023, o grupo de ransomware começou a publicar os detalhes de suas primeiras vítimas em 27 de abril, exibindo arquivos de amostra, tipos de dados e links de dados.
Além disso, o RA Group utiliza um criptografador derivado do código-fonte vazado do agora extinto ransomware Babuk.
Sentinel Labs divulgou recentemente que, após o vazamento do código-fonte do ransomware Babuk em um fórum de hackers russo em setembro de 2021, pelo menos nove grupos de ransomware o empregaram para estender sua superfície de ataque às seguintes plataformas:-
Além dos grupos de ransomware identificados no relatório do Sentinel Labs, o Cisco Talos documentou uma linha do tempo de ataques de vários grupos utilizando ramificações de ransomware do código-fonte Babuk, como:-
- Torre
- Céu noturno
- Pandora
- Nokoyawa
- Cheerscrypt
- AstraLocker 2.0
- ESXiArgs
O RA Group se diferencia por empregar notas de resgate personalizadas, adaptadas para cada organização visada, além de usar nomes executáveis específicos da vítima.
Em contraste, o seu ransomware tem como alvo todas as unidades lógicas e compartilhamentos de rede, exceto os essenciais. Windows pastas do sistema como inicialização e arquivos de programas, criptografando diretórios específicos.
O RA Group emprega criptografia intermitente para evitar que o sistema da vítima fique inoperante e aumentar as chances de receber pagamentos de resgate.
Essa técnica arriscada alterna entre criptografar e não criptografar seções de arquivos, permitindo potencialmente a recuperação parcial de dados.
Durante o processo de criptografia, o criptografador do Grupo RA emprega os dois algoritmos a seguir: –
- curva25519
- Cifra eSTREAM hc-128
O RA Group anexa a extensão de arquivo “.GAGUP” aos arquivos criptografados e garante que as cópias de sombra do volume e o conteúdo da Lixeira sejam excluídos, tornando a restauração de dados mais desafiadora.
Nota de pagamento de resgate
A nota de resgate do RA Group, chamada ‘How To Restore Your Files.txt’, instrui a vítima a se comunicar com os atores da ameaça por meio do aplicativo de mensagens qTox para discutir o pagamento do resgate.
Além de fornecer um link para um repositório com arquivos roubados como prova da violação de dados, a nota de resgate especifica que se a vítima não iniciar o contato dentro de três dias, o Grupo RA exporá os arquivos roubados da vítima.
Devido ao seu recente surgimento e ao número limitado de vítimas, os métodos utilizados por esta operação de ransomware para violar sistemas e propagar-se através de redes permanecem obscuros.
