全新勒索組織“曝光”,已入侵美國、韓國多個組織

發(fā)布時間 2023-05-16

近日,一個名為RA group的新勒索軟件組織進入人們的視野,該網絡犯罪團伙自2023年4月22日起就已經開始有所“行動”,目前仍在迅速擴大其勒索活動的范圍。


安全研究員Chetan Raghuprasad在與the Hacker News分享的一份報告中提到:到目前為止,該組織已經入侵了美國的三個組織和韓國的一個組織,涉及制造業(yè)、財富管理、保險提供商和制藥等多個垂直行業(yè)。


RA勒索組織運營著一個信息泄露網站,他們向受害者進行雙重勒索攻擊,迫使他們支付贖金。Raghuprasad解釋稱:RA集團使用的是定制贖金筆記,其中包括受害者的名字和下載泄露證據的唯一鏈接。如果受害者在三天內未與該組織聯系,那他們就會直接泄露受害者的信息。


此外,該組織還采取了一些措施以避免通過硬編碼列表加密系統(tǒng)文件和文件夾,從而允許受害者下載qTox聊天應用程序。受害者可通過贖金通知上提供的qTox ID與該組織取得聯系。


RA Group與其他勒索軟件的不同之處在于,他們會將信息托管在安全的TOR站點上,然后直接在他們的泄漏網站上出售受害者的泄露數據。大約一周前,SentinelOne表示,現在有很多威脅行為者通過Babuk勒索軟件代碼開發(fā)出了十幾種能夠針對Linux系統(tǒng)的“衍生品”。同時,也有越來越多的黑客開始使用Babuk構建器來開發(fā)ESXi和Linux勒索軟件,這已然成為了一個明顯的趨勢。


在過去一年中,采用Babuk源代碼的其他勒索軟件參與者還包括了AstraLocker和Nokoyawa。Cheerscrypt是另一種基于Babuk的勒索軟件。此外,還有另外兩種代號為Rancoz和BlackSuit的新型勒索軟件,后者專門針對Windows和VMware ESXi服務器。


Cyble表示:這些不斷更新升級的勒索軟件,從側面透露出了目前的威脅行為者們已經是一批具備先進的專業(yè)技能和敏捷性的人,他們都熟知目前各國實施的網絡安全措施,且能夠站在這些政策的對立面,定制“專屬”勒索軟件。