‘RA Group’, Amerika Birleşik Devletleri ve Güney Kore’de aşağıdaki şirketlere aktif olarak saldıran, yakın zamanda ortaya çıkan bir fidye yazılımı kuruluşudur:-
- ilaç firmaları
- Sigorta şirketleri
- Varlık yönetimi şirketleri
- Üretici firmalar
Cisco Talos’taki siber güvenlik araştırmacıları, tehlikeye atılan bilgileri ifşa etmek ve kurbanları fidyeyi ödemeye zorlamak için karanlık ağda bir veri sızıntısı web sitesi kurarak yaygın ‘çifte gasp’ tekniğini kullandıklarını gözlemlediler.
RA Hacker Grubu
22 Nisan 2023’te çevrimiçi olduktan sonra fidye yazılımı grubu, 27 Nisan’da örnek dosyaları, veri türlerini ve veri bağlantılarını görüntüleyerek ilk kurbanlarının ayrıntılarını yayınlamaya başladı.
Bunun dışında RA Group, artık feshedilmiş Babuk fidye yazılımının sızdırılmış kaynak kodundan türetilen bir şifreleyici kullanır.
Sentinel Labs kısa süre önce, Eylül 2021’de bir Rus bilgisayar korsanı forumunda Babuk fidye yazılımı kaynak kodunun sızdırılmasının ardından, en az dokuz fidye yazılımı grubunun saldırı yüzeylerini aşağıdaki platformlara genişletmek için bu kodu kullandığını açıkladı:-
Sentinel Labs’ın raporunda tanımlanan fidye yazılımı gruplarının yanı sıra Cisco Talos, Babuk kaynak kodundan fidye yazılımı yan ürünleri kullanan çeşitli gruplar tarafından gerçekleştirilen saldırıların bir zaman çizelgesini belgelemiştir, örneğin:-
- Kale
- Gece gökyüzü
- Pandora
- Nokoyava
- Cheerscrypt
- AstraLocker 2.0
- ESXiArgs
RA Group, hedeflenen her kuruluş için özel fidye notları ve kurbana özel yürütülebilir adlar kullanarak kendini farklı kılar.
Buna karşılık, fidye yazılımları, belirli dizinleri şifreleyen önyükleme ve Program Dosyaları gibi temel Windows sistem klasörleri dışında tüm mantıksal sürücüleri ve ağ paylaşımlarını hedefler.
RA Group, kurbanın sisteminin çalışmaz hale gelmesini önlemek ve fidye ödemesi alma şansını artırmak için aralıklı şifreleme kullanır.
Bu riskli teknik, dosyaların bölümlerini şifrelemek ve şifrelememek arasında geçiş yaparak potansiyel olarak kısmi veri kurtarmaya olanak tanır.
Şifreleme işlemi sırasında, RA Group’un şifreleyicisi aşağıdaki iki algoritmayı kullanır: –
- eğri25519
- eSTREAM şifresi hc-128
RA Group, “.GAGUP” dosya uzantısını şifrelenmiş dosyalara ekler ve birim gölge kopyalarının ve Geri Dönüşüm Kutusu içeriğinin silinmesini sağlayarak veri geri yüklemeyi daha zor hale getirir.
Fidye Ödeme Notu
RA Group’un ‘How To Restore Your Files.txt’ adlı fidye notu, kurbana fidye ödemesini tartışmak için qTox messenger uygulaması aracılığıyla tehdit aktörleriyle iletişim kurması talimatını veriyor.
Fidye notu, veri ihlalinin kanıtı olarak çalınan dosyaların bulunduğu bir depoya bağlantı sağlamanın yanı sıra, kurban üç gün içinde iletişime geçmezse, RA Group’un kurbanın çalınan dosyalarını ifşa edeceğini belirtir.
Son zamanlarda ortaya çıkması ve sınırlı sayıda kurban olması nedeniyle, bu fidye yazılımı operasyonunun sistemleri ihlal etmek ve ağlar arasında yayılmak için kullandığı yöntemler belirsizliğini koruyor.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin