Grup ransomware baru bernama ‘RA Group’ menargetkan perusahaan farmasi, asuransi, manajemen kekayaan, dan manufaktur di Amerika Serikat dan Korea Selatan.
Operasi ransomware baru dimulai pada April 2023, ketika mereka meluncurkan situs kebocoran data di web gelap untuk mempublikasikan detail korban dan data yang dicuri, terlibat dalam taktik ‘pemerasan ganda’ yang biasa digunakan oleh sebagian besar geng ransomware.
Sementara portal pemerasan diluncurkan pada 22 April 2023, gelombang pertama organisasi yang menjadi korban diterbitkan pada 27 April, termasuk file sampel, deskripsi jenis konten yang dicuri, dan tautan ke data yang dicuri.
Sumber: BleepingComputer
Dalam laporan baru oleh Cisco Talospeneliti menjelaskan bahwa RA Group menggunakan encryptor berdasarkan kode sumber yang bocor untuk ransomware Babukoperasi ransomware yang ditutup pada tahun 2021.
Minggu lalu, Sentinel Labs melaporkan bahwa setidaknya sembilan operasi ransomware yang berbeda menggunakan kode sumber Babuk yang dibocorkan di forum peretas berbahasa Rusia pada September 2021, karena ini memberikan cara mudah bagi pelaku ancaman untuk memperluas cakupan mereka hingga mencakup Linux dan VMware ESXi.
Selain grup ransomware yang dikutip dalam laporan Sentinel Labs sebagai pengguna Babuk, Cisco Talos juga menyebutkan Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0, dan ESXiArgs.
Rincian serangan Grup RA
Karakteristik penting dari RA Group adalah bahwa setiap serangan menampilkan catatan tebusan khusus yang ditulis khusus untuk organisasi yang ditargetkan, sedangkan yang dapat dieksekusi juga dinamai menurut nama korban.
Ransomware menargetkan semua drive logis pada mesin korban dan berbagi jaringan dan mencoba mengenkripsi folder tertentu, tidak termasuk yang terkait dengan sistem Windows, boot, File Program, dll.
Ini untuk menghindari membuat sistem korban tidak dapat digunakan, sehingga tidak mungkin menerima pembayaran uang tebusan.
Penggunaan enkripsi RA Group enkripsi intermiten, yaitu alternatif antara mengenkripsi dan tidak mengenkripsi bagian file untuk mempercepat enkripsi file. Namun, ini pendekatan bisa berisiko karena memungkinkan beberapa data dipulihkan sebagian dari file.
Saat mengenkripsi data, enkripsi akan menggunakan algoritma curve25519 dan eSTREAM cipher hc-128.
File terenkripsi ditambahkan ekstensi nama file “.GAGUP” sementara semua salinan bayangan volume dan konten Keranjang Sampah dihapus untuk mencegah pemulihan data yang mudah.
Catatan tebusan yang dijatuhkan pada sistem korban bernama ‘Cara Mengembalikan Files.txt Anda‘ dan mengharuskan korban untuk menggunakan qTox messenger untuk menghubungi pelaku ancaman dan menegosiasikan uang tebusan.
Catatan tersebut juga menyertakan tautan ke repositori yang berisi file yang dicuri dari korban sebagai bukti pelanggaran data.
Pelaku ancaman mengklaim memberi korban tiga hari sebelum sampel data yang dicuri diterbitkan di situs pemerasan, tetapi seperti operasi ransomware lainnya, ini kemungkinan terbuka untuk negosiasi.
Karena ini adalah operasi ransomware yang relatif baru, dengan hanya sedikit korban, tidak jelas bagaimana mereka menembus sistem dan menyebar secara lateral di jaringan.
