0
0
Uma gangue de ransomware recém-descoberta apelidada de RA Group está aumentando seus ataques cibernéticos – o mais recente de uma linha de agentes de ameaças aproveitando o código-fonte Babuk vazado. O grupo distingue-se do resto do pacote Babuk, no entanto, com uma abordagem altamente personalizada.
De acordo com uma análise do Cisco Talos esta semana, o RA Group abriu suas lojas em 22 de abril e vem expandindo rapidamente suas operações desde então. Até agora, foi atrás de organizações nos EUA e na Coreia do Sul nos setores de manufatura, gestão de patrimônio, seguros e farmacêutico.
Como pano de fundo, o código-fonte completo do ransomware Babuk vazou online em setembro de 2021 e, desde então, vários novos agentes de ameaças o usaram para entrar no negócio de ransomware. Em particular, vários o usaram para desenvolver armários para hipervisores VMware ESXi — no ano passado, 10 famílias diferentes de ransomware seguiram esse caminho.
Outros personalizaram o código de outras maneiras, aproveitando o fato de que ele é construído para explorar várias vulnerabilidades conhecidas, incluindo aquelas encontradas no Microsoft Exchange, Struts, WordPress, Atlassian Confluence, Oracle WebLogic Server, SolarWinds Orion, Liferay e outros.
“Ao reutilizar código escrito por outros e vazado, esses grupos estão reduzindo seu tempo de desenvolvimento significativamente e, possivelmente, até incorporando recursos que de outra forma não teriam sido capazes de criar”, disse Erich Kron, defensor de conscientização de segurança da KnowBe4, em um comentário enviado por e-mail.
Ele acrescentou: “Nos últimos anos, especialmente depois que as ofertas de ransomware como serviço (RaaS) se tornaram populares, ficou muito claro que você não precisa ser uma maravilha técnica para jogar no jogo de crimes cibernéticos e extorsão. Simplesmente usar o código de outras pessoas, por meio de uma assinatura ou por meio de vazamentos como esse, com pequenas modificações, pode deixar praticamente qualquer pessoa equipada para realizar ataques.”
A visão única do RA Group sobre Babuk
No caso do RA Group, ele está usando um modelo típico de dupla extorsão em que ameaça vazar dados exfiltrados se a vítima não pagar o resgate; No entanto, de acordo com a nota de resgate, as vítimas têm apenas três dias para pagar.
Esse não é o único ajuste nas cartilhas conhecidas que o grupo está empregando. “Em seu site de vazamento, o RA Group divulga o nome da organização da vítima, uma lista de seus dados exfiltrados e o tamanho total, e a URL oficial da vítima, o que é típico entre os sites de vazamento de outros grupos de ransomware”, de acordo com a análise do Cisco Talos sobre o grupo de ransomware. Mas, em uma reviravolta, o “RA Group também está vendendo os dados exfiltrados da vítima em seu site de vazamento, hospedando os dados vazados das vítimas em um site Tor seguro”.
Apesar do giro do RA Group sobre ransomware, o básico permanece eficaz quando se trata de se defender contra a ameaça: as organizações devem garantir que seus ambientes estejam corrigidos e atualizados, monitorar continuamente suas redes em busca de quaisquer sinais de atividade maliciosa (e garantir que suas ferramentas de segurança sejam atualizadas com os indicadores mais recentes de comprometimento) e garantir que tenham procedimentos eficazes de backup e recuperação em vigor no caso de um ataque bem-sucedido.
FONTE: DARK READING