La familia de grupos de ransomware se expande con el descubrimiento de la banda RA por equipos de seguridad cisco Talos. Desde finales de abril, ha atacado a empresas y también ha participado en robo de datos y extorsión. "Al igual que otros actores del ransomware, RA Group también ha abierto un sitio en el que amenaza con publicar los datos exfiltrados de las víctimas que no se ponen en contacto con ellos en un plazo determinado o que no responden a sus demandas de rescate", indican los investigadores en su informe. .

Índice
  1. Un vector de intrusión aún desconocido
  2. Una variante de Babuk con cifrado fuerte

Un vector de intrusión aún desconocido

“Esta forma de doble extorsión aumenta las posibilidades de que la víctima pague el rescate”, añaden. El equipo de Talos solo analizó la muestra de ransomware, que es la carga útil final, pero, en primer lugar, no saben cómo los atacantes logran ingresar a las redes. Sin embargo, es probable que para obtener este acceso inicial, RA Group dependa, como la mayoría de las bandas de ransomware, de los vectores habituales: explotación de vulnerabilidades en sistemas expuestos públicamente, robo de credenciales de acceso remoto o compra de acceso a otra banda de cibercriminales que opere un malware. plataforma de distribución.

Es probable que al acceso inicial le siga el movimiento lateral y la implementación de otro malware, ya que los atacantes primero quieren filtrar datos potencialmente confidenciales y valiosos para la empresa. De hecho, la última nota de rescate presentada por el grupo se adapta a cada víctima, se refiere a ellas por su nombre y enumera el tipo exacto de datos que se copiaron y se divulgarán públicamente si no se establece contacto en los tres días. Esto sugiere que los atacantes conocen muy bien a sus víctimas. A finales de abril, el sitio de filtración de datos del grupo, lanzado el 22 de abril, ya enumeraba cuatro víctimas con sus nombres, enlaces a sus sitios web y un resumen de los datos disponibles que también estaban a la venta para otros. Los datos en sí están alojados en un servidor Tor y las víctimas deben comunicarse con el grupo mediante la aplicación de mensajería cifrada qTox. “También observamos que el actor estaba realizando cambios estéticos en su sitio de fuga luego de revelar la información de la víctima, lo que confirma que se encuentra en las primeras etapas de su operación”, dijeron los especialistas.

Una variante de Babuk con cifrado fuerte

Además de adaptar las demandas de rescate a cada víctima, el archivo ejecutable del ransomware también incluye el nombre de la víctima, lo que sugiere que los atacantes están compilando variantes únicas para cada objetivo. El binario de ransomware analizado por Talos fue compilado el 23 de abril, escrito en C++ y contiene una ruta de depuración que coincide con las rutas encontradas en Babuk, un ransomware cuyo código fuente fue publicado en línea en septiembre de 2021 por un miembro del grupo Babuk, en desacuerdo. con el grupo. De, Se desarrollaron varios ransomwares basados ​​en el código filtrado de Babuk.incluidos Rook, Night Sky, Pandora, Cheerscrypt, AstraLocker, EXSiArgs, Rorschach, RTM Locker y ahora RA Group. A diferencia de Babuk, que utilizó AES-256-CTR con cifrado ChaCha8 para cifrar archivos, RA Group optó por un enfoque diferente: utiliza la función WinAPI CryptGenRandom para generar bytes criptográficamente aleatorios, luego utilizados como clave privada para cada víctima y luego en un cifrado. Esquema basado en curva elíptica de 128 bits, seguridad Curve25519 y cifrado eSTREAM hc-128. Los archivos solo se cifran parcialmente para acelerar el proceso y se les cambia el nombre con la extensión .GAGUP.

El ransomware tiene una lista de carpetas y archivos (los principales archivos críticos del sistema) que no cifra para evitar que el sistema falle, pero escanea la red en busca de archivos compartidos grabables e intenta cifrar los archivos almacenados allí. Otras operaciones incluyen vaciar la papelera del sistema y usar la herramienta. vssadmin.exe para eliminar volúmenes de instantáneas que podrían usarse para recuperar archivos. "El actor está ampliando rápidamente sus operaciones", dijeron los investigadores de Talos en su informe. "Hasta la fecha, el grupo ha comprometido a tres empresas en Estados Unidos y una en Corea del Sur en varias industrias, incluidas la manufactura, la gestión patrimonial, las compañías de seguros y la industria farmacéutica", dijeron los investigadores.