Ransomware baru (terbuka di tab baru) aktor ancaman telah terdeteksi menargetkan bisnis besar dengan harapan pembayaran yang sama besarnya.
Peneliti keamanan siber dari Talos mengungkap aktor ancaman bernama RA Group yang memulai operasinya pada April 2023 menggunakan kode sumber Babuk, yang sebelumnya dibocorkan, tampaknya oleh salah satu mantan anggotanya.
Sejauh ini, kelompok tersebut telah berhasil menyerang tiga organisasi di AS, dan satu di Korea Selatan. Tampaknya tidak ada preferensi industri, karena para korban berada di bidang manufaktur, manajemen kekayaan, asuransi, dan farmasi.
Catatan tebusan yang dipersonalisasi
Tidak ada yang unik tentang RA Group. Itu meluncurkan serangan pemerasan ganda, mencuri data sensitif saat mengenkripsi sistem, dengan harapan memotivasi para korban untuk membayar permintaan uang tebusan. Situs webnya tampaknya sedang dalam proses, karena grup tersebut masih membuat perubahan kosmetik. Saat membocorkan data, ia mengungkap nama korban, daftar data yang dicuri, ukuran total, dan situs web korban.
Catatan tebusan dipersonalisasi untuk setiap korban individu, para peneliti menambahkan, mengklaim ini juga merupakan praktik standar di antara pelaku ancaman ransomware. Apa yang bukan praktik standar, bagaimanapun, adalah memberi nama korban di executable juga.
Malware mengenkripsi hanya sebagian file, untuk bergerak lebih cepat. Setelah enkripsi selesai, file mendapatkan ekstensi .GAGUP. Ransomware kemudian menghapus semua yang ada di Bin dengan API SHEmptyRecyclebinA, serta salinan bayangan volume dengan menjalankan vssadmin.exe biner Windows lokal, alat administratif yang digunakan untuk memanipulasi salinan bayangan.
Ransomware tidak mengenkripsi semua file. Beberapa dibiarkan dapat diakses sehingga korban dapat menghubungi grup dengan lebih mudah. File yang tidak dienkripsi diperlukan agar korban dapat mengunduh aplikasi qTox, yang digunakan untuk menjangkau penyerang.
Posted By : pengeluaran hk
