全新勒索組織“曝光”,已入侵美國(guó)、韓國(guó)多個(gè)組織

發(fā)布時(shí)間 2023-05-16

近日,一個(gè)名為RA group的新勒索軟件組織進(jìn)入人們的視野,該網(wǎng)絡(luò)犯罪團(tuán)伙自2023年4月22日起就已經(jīng)開始有所“行動(dòng)”,目前仍在迅速擴(kuò)大其勒索活動(dòng)的范圍。


安全研究員Chetan Raghuprasad在與the Hacker News分享的一份報(bào)告中提到:到目前為止,該組織已經(jīng)入侵了美國(guó)的三個(gè)組織和韓國(guó)的一個(gè)組織,涉及制造業(yè)、財(cái)富管理、保險(xiǎn)提供商和制藥等多個(gè)垂直行業(yè)。


RA勒索組織運(yùn)營(yíng)著一個(gè)信息泄露網(wǎng)站,他們向受害者進(jìn)行雙重勒索攻擊,迫使他們支付贖金。Raghuprasad解釋稱:RA集團(tuán)使用的是定制贖金筆記,其中包括受害者的名字和下載泄露證據(jù)的唯一鏈接。如果受害者在三天內(nèi)未與該組織聯(lián)系,那他們就會(huì)直接泄露受害者的信息。


此外,該組織還采取了一些措施以避免通過(guò)硬編碼列表加密系統(tǒng)文件和文件夾,從而允許受害者下載qTox聊天應(yīng)用程序。受害者可通過(guò)贖金通知上提供的qTox ID與該組織取得聯(lián)系。


RA Group與其他勒索軟件的不同之處在于,他們會(huì)將信息托管在安全的TOR站點(diǎn)上,然后直接在他們的泄漏網(wǎng)站上出售受害者的泄露數(shù)據(jù)。大約一周前,SentinelOne表示,現(xiàn)在有很多威脅行為者通過(guò)Babuk勒索軟件代碼開發(fā)出了十幾種能夠針對(duì)Linux系統(tǒng)的“衍生品”。同時(shí),也有越來(lái)越多的黑客開始使用Babuk構(gòu)建器來(lái)開發(fā)ESXi和Linux勒索軟件,這已然成為了一個(gè)明顯的趨勢(shì)。


在過(guò)去一年中,采用Babuk源代碼的其他勒索軟件參與者還包括了AstraLocker和Nokoyawa。Cheerscrypt是另一種基于Babuk的勒索軟件。此外,還有另外兩種代號(hào)為Rancoz和BlackSuit的新型勒索軟件,后者專門針對(duì)Windows和VMware ESXi服務(wù)器。


Cyble表示:這些不斷更新升級(jí)的勒索軟件,從側(cè)面透露出了目前的威脅行為者們已經(jīng)是一批具備先進(jìn)的專業(yè)技能和敏捷性的人,他們都熟知目前各國(guó)實(shí)施的網(wǎng)絡(luò)安全措施,且能夠站在這些政策的對(duì)立面,定制“專屬”勒索軟件。