کمیته رکن چهارم – یک گروه باجافزار جدید کشف شده است که در حال باجگیری از کسبوکارهای بزرگ است.
یک عامل تهدید باجافزاری جدید شناسایی شده است که مشاغل بزرگ را با مقصود باجگیریهای هنگفت و میلیون دلاری هدف میگیرد.
محققان امنیت سایبری از Talos یک عامل تهدید به نام RA Group را کشف کردند که عملیات خود را در آوریل ۲۰۲۳ با استفاده از کد منبع Babuk که قبلاً توسط یکی از اعضای سابق آن فاش شده بود، آغاز کرده بود.
تاکنون، این گروه با موفقیت به سه سازمان در ایالات متحده و یک سازمان در کره جنوبی حمله کرده است. به نظر نمیرسد که این گروه باجافزاری ترجیح خاصی در حوزه صنعت هدف خود داشته باشد زیرا قربانیان در بخش تولید، مدیریت ثروت، بیمه و داروسازی بودهاند.
هیچ چیز منحصر به فردی در مورد RA Group وجود ندارد. این گروه حملات باجگیری را روی سیستمهای هدف انجام میدهد و دادههای حساس را در حین رمزگذاری سیستمها میدزدد. به نظر میرسد وبسایت گروه باجافزاری RA Group تازه در حال ساخته شدن زیرا این گروه هنوز در حال ایجاد تغییرات گرافیکی روی آن است. نام قربانی، فهرستی از دادههای سرقت شده، اندازه کل و وبسایت قربانی جزو دادههایی هستند که این گروه باجافزاری به آنها دسترسی پیدا میکند.
محققان افزودند که یادداشت باج برای هر قربانی شخصیسازی شده است و ادعا میکنند که این نیز یک روش استاندارد در بین عاملان تهدید باجافزار است. با این حال، آنچه در این مورد یک رویه استاندارد نیست، نام بردن از قربانیان در فایلهای اجرایی است.
این بدافزار تنها بخشی از فایلها را رمزگذاری میکند تا سریعتر عملیات خود را انجام دهد. پس از تکمیل رمزگذاری، فایلها پسوند .GAGUP را دریافت میکنند. سپس باجافزار همه چیز موجود در Bin را با API SHEmptyRecyclebinA و همچنین کپی سایه حجمی را با اجرای باینری محلی ویندوز vssadmin.exe حذف میکند.
با این حال، باجافزار همه فایلها را رمزگذاری نمیکند. برخی از آنها در دسترس هستند تا قربانیان بتوانند راحتتر با گروه تماس بگیرند. فایلهای دستکاری نشده برای قربانیان برای دانلود برنامه qTox ضروری هستند که برای دسترسی به مهاجمان استفاده میشود.
منبع: افتانا