0
0
Grupo proveniente do Babuk usa dupla extorsão e possui informações detalhadas sobre suas vítimas
Pesquisadores alertam sobre uma nova gangue de ransomware chamada RA Group, que também se envolve em roubo de dados e extorsão e atinge organizações desde o final de abril. O programa de ransomware do grupo é construído a partir do código-fonte vazado de uma ameaça diferente chamada Babuk.
“Como outros operadores de ransomware, o RA Group também opera um site de vazamento de dados no qual ameaçam publicar os dados exfiltrados das vítimas que não conseguem contatá-los dentro do prazo especificado ou não atendem às suas demandas de resgate”, disseram pesquisadores da Cisco Talos em um novo relatório. “Essa forma de dupla extorsão aumenta as chances de a vítima pagar o resgate solicitado.”
A equipe do Cisco Talos analisou apenas a amostra do ransomware, que é a carga útil final, mas não determinou a maneira pela qual os invasores obtêm acesso inicial às redes. No entanto, é provável que seja por meio de um dos vetores usuais usados pela maioria das gangues de ransomware: exploração de vulnerabilidades em sistemas expostos publicamente, credenciais de acesso remoto roubadas ou compra de acesso de outra gangue de cibercrimes que pode operar uma plataforma de distribuição de malware.
O acesso inicial provavelmente é seguido por movimento lateral e implantação de outras ferramentas de malware, já que os invasores estão interessados em primeiro exfiltrar dados confidenciais e valiosos para a empresa. Na verdade, a nota de resgate final lançada pelo grupo é personalizada para cada vítima individualmente, refere-se a ela pelo nome e lista o tipo exato de dados que foram copiados e que vazarão publicamente se o contato não for feito em três dias. Isso sugere que os invasores têm uma visão muito boa de suas vítimas.
O site de vazamento de dados do grupo foi lançado em 22 de abril. No final daquele mês já havia listado quatro vítimas com seus nomes, links para seus sites e um resumo dos dados disponíveis que também são disponibilizados para venda a outras pessoas. Os dados em si são hospedados em um servidor Tor e as vítimas precisam entrar em contato com o grupo usando o aplicativo de mensagens criptografadas qTox.
“Também observamos o operador da ameaça fazendo mudanças cosméticas no local do vazamento depois de divulgar os detalhes da vítima, confirmando que eles estão nos estágios iniciais de sua operação”, disseram os pesquisadores da Cisco Talos.
Além de adaptar suas notas de resgate para cada vítima, o arquivo executável do ransomware também inclui o nome da vítima, sugerindo que os invasores estão compilando variantes exclusivas para cada vítima. O binário do ransomware analisado pela Cisco Talos foi compilado em 23 de abril, foi escrito em C ++ e contém um caminho de depuração consistente com os caminhos encontrados no Babuk, um ransomware cujo código-fonte vazou online em setembro de 2021 por um membro descontente do grupo Babuk. Desde então, várias ameaças de ransomware foram desenvolvidas com base no código Babuk vazado, incluindo Rook, Night Sky, Pandora, Cheerscrypt, AstraLocker, EXSiArgs, Rorschach, RTM Locker e agora RA Group.
O Babuk usou o AES-256-CTR com a cifra ChaCha8 para criptografia de arquivos, mas o RA Group adota uma abordagem diferente. Ele usa a função WinAPI CryptGenRandom para gerar bytes aleatórios criptográficos que são usados como uma chave privada para cada vítima e, em seguida, é usado em um esquema de criptografia que usa curve25519 e cifra eSTREAM hc-128. Os arquivos são criptografados apenas parcialmente para acelerar o processo e são renomeados para a extensão .GAGUP.
O programa ransomware tem uma lista de pastas e arquivos — os principais críticos do sistema — que não serão criptografados para evitar travar o sistema, mas verificam a rede em busca de compartilhamentos de arquivos graváveis e tentam criptografar os arquivos armazenados neles. Outras operações incluem esvaziar a lixeira do sistema e usar a ferramenta vssadmin.exe para excluir cópias de sombra de volume que podem ser usadas para recuperar arquivos.
“O grupo está expandindo rapidamente suas operações”, disseram os pesquisadores da Cisco Talos em seu relatório. “Até o momento, o grupo comprometeu três organizações nos Estados Unidos e uma na Coreia do Sul em vários segmentos verticais de negócios, incluindo manufatura, gestão de patrimônio, seguradoras e produtos farmacêuticos.”
FONTE: CISO ADVISOR