Yeni ve son derece aktif bir fidye yazılımı tehdit aktörü olan RA Group, imalat, finans, sigorta ve ilaç sektörlerindeki kuruluşları hedefliyor. Cisco Talos Pazartesi dedi.
22 Nisan’da ortaya çıkmasından sonraki bir hafta içinde RA Group, ABD’de üç ve Güney Kore’de bir örgütün gizliliğini ihlal etti. Cisco Talos’a göre grup, 27 Nisan’da sızıntı sitesinde ilk üç kurbanını listeledi ve 28 Nisan’da dördüncü bir kurban ekledi.
İlk kurban kuruluşların verileri şifrelendi ve çalındı; bu, kuruluşların fidyeyi ödemeleri için üzerindeki baskıyı artırmak üzere tasarlanmış bir çifte haraç biçimi.
Cisco Talos’un gözlemlediği ve paylaştığı fidye notlarına göre, RA Group’tan özelleştirilmiş fidye notları, fidye ödenmezse üç gün içinde örnek dosyaların sızmasını ve çalınan verilerin bir hafta içinde tamamen serbest bırakılmasını tehdit ediyor.
RA Group, Cisco Talos araştırmacılarının yüksek düzeyde özelleştirilmiş olarak tanımladığı Babuk fidye yazılımı kaynak kodunu kullanıyor. Cisco Talos’a göre, birden fazla fidye yazılımı grubu, 2021’de bir geliştirici tarafından sızdırıldığından beri Babuk fidye yazılımı kodunu kullandı.
İlk olarak geçen ay tespit edilen Babuk fidye yazılımı kodunun özelleştirilmiş bir türü olan Rorschach, verileri bilinen diğer türlerden daha hızlı şifreleyebiliyor ve “gelmiş geçmiş en hızlı fidye yazılımı” Check Point’teki araştırmacılar tarafından.
Babuk fidye yazılımı kaynak kodu, bu yılın başlarında küresel bir fidye yazılımı saldırısında da kullanıldı VMware ESXi sunucularını kullanan kuruluşları hedefleme.