Eine neue Ransomware (öffnet sich in neuem Tab) Es wurde festgestellt, dass ein Bedrohungsakteur große Unternehmen in der Hoffnung auf ebenso hohe Auszahlungen ins Visier nimmt.
Cybersicherheitsforscher von Talos haben einen Bedrohungsakteur namens RA Group aufgedeckt, der seine Aktivitäten im April 2023 unter Verwendung des Babuk-Quellcodes aufnahm, der zuvor offenbar von einem seiner ehemaligen Mitglieder durchgesickert war.
Bisher hat die Gruppe drei Organisationen in den USA und eine in Südkorea erfolgreich angegriffen. Es scheint keine Branchenpräferenz zu geben, da die Opfer in der verarbeitenden Industrie, der Vermögensverwaltung, im Versicherungswesen und in der Pharmazie tätig waren.
Personalisierte Lösegeldforderungen
Es gibt nichts Besonderes an der RA Group. Es startet doppelte Erpressungsangriffe und stiehlt beim Verschlüsseln der Systeme sensible Daten, in der Hoffnung, die Opfer zur Zahlung des Lösegelds zu motivieren. Die Website scheint noch in Arbeit zu sein, da die Gruppe noch kosmetische Änderungen vornimmt. Wenn die Daten preisgegeben werden, werden der Name des Opfers, eine Liste der gestohlenen Daten, die Gesamtgröße und die Website des Opfers preisgegeben.
Der Lösegeldschein sei für jedes einzelne Opfer personalisiert, fügten die Forscher hinzu und behaupteten, auch dies sei gängige Praxis unter Ransomware-Bedrohungsakteuren. Was jedoch nicht üblich ist, ist die Nennung der Opfer auch in den ausführbaren Dateien.
Die Malware verschlüsselt nur Teile von Dateien, um sich schneller zu bewegen. Nach Abschluss der Verschlüsselung erhalten die Dateien die Erweiterung .GAGUP. Die Ransomware löscht dann mit der API SHEmptyRecyclebinA alles im Bin sowie die Volume-Schattenkopie, indem sie die lokale Windows-Binärdatei vssadmin.exe ausführt, ein Verwaltungstool zum Bearbeiten von Schattenkopien.
Allerdings verschlüsselt die Ransomware nicht alle Dateien. Einige bleiben zugänglich, damit die Opfer einfacher mit der Gruppe in Kontakt treten können. Die unverschlüsselten Dateien sind erforderlich, damit die Opfer die qTox-Anwendung herunterladen können, mit der sie Kontakt zu den Angreifern aufnehmen können.