Un nuevo ransomware (se abre en una pestaña nueva) Se ha detectado un actor de amenazas que apunta a grandes empresas con la esperanza de obtener pagos igualmente grandes.
Los investigadores de ciberseguridad de Talos descubrieron un actor de amenazas llamado RA Group que inició sus operaciones en abril de 2023 utilizando el código fuente de Babuk, que fue filtrado previamente, aparentemente por uno de sus antiguos miembros.
Hasta ahora, el grupo ha atacado con éxito a tres organizaciones en los EE. UU. y una en Corea del Sur. No parece tener una preferencia de industria, ya que las víctimas se encontraban en la fabricación, la gestión de patrimonio, los seguros y la farmacia.
Notas de rescate personalizadas
No hay nada particularmente único en RA Group. Lanza ataques de doble extorsión, robando datos confidenciales mientras cifra los sistemas, con la esperanza de motivar a las víctimas a pagar la demanda de rescate. Su sitio web parece ser un trabajo en progreso, ya que el grupo aún está haciendo cambios cosméticos. Cuando filtra los datos, revela el nombre de la víctima, una lista de los datos robados, el tamaño total y el sitio web de la víctima.
La nota de rescate está personalizada para cada víctima individual, agregaron los investigadores, afirmando que esto también es una práctica estándar entre los actores de amenazas de ransomware. Sin embargo, lo que no es una práctica estándar es nombrar a las víctimas en los ejecutables también.
El malware encripta solo partes de los archivos para moverse más rápido. Una vez que se completa el cifrado, los archivos obtienen la extensión .GAGUP. Luego, el ransomware elimina todo lo que hay en la papelera con la API SHEmptyRecyclebinA, así como las instantáneas de volumen mediante la ejecución del binario local de Windows vssadmin.exe, una herramienta administrativa utilizada para manipular las instantáneas.
Sin embargo, el ransomware no cifra todos los archivos. Algunos se dejan accesibles para que las víctimas puedan contactar con el grupo más fácilmente. Los archivos no cifrados son necesarios para que las víctimas descarguen la aplicación qTox, que se utiliza para llegar a los atacantes.