RA Grubu Yeni Saldırılarda Babuk Fidye Yazılımı Kaynak Kodunu Kullanıyor

Tehdit istihbaratı şirketi Cisco Talos, RA Group’un, VirusTotal’a Haziran 2021’de Babuk oluşturucu kaynak kodunun gizemli bir şekilde sızmasından yararlanan en son suç grubu olduğunu söyledi. Babuk o zamandan beri hareketsiz görünüyordu. Salı günü ABD federal savcıları, grubun kilit isimlerinden Rus bilgisayar korsanı Mikhail Matveev, namı diğer “Wazawaka” aleyhindeki iddianameyi ortaya çıkardı (bkz: Babuk Fidye Yazılımı Hackerı ‘Wazawaka’ ABD’de Suçlandı).

Cisco Talos, Babuk’un kodunu RA Group fidye yazılımıyla eşleştirebileceğini söylüyor çünkü her iki program da aynı muteks adını içeriyor – yani, bir kod bölümünün bilgisayarın merkezi işlemcisi tarafından aynı anda yürütülmesini önleyen bir program nesnesi için aynı ad. Babuk kodunu geri dönüştüren diğer gruplar arasında Rook, Night Sky, ESXiAgs ve RTM Locker (bkz: RTM Locker RaaS Group, Linux, NAS ve ESXi Ana Bilgisayarlarına Dönüyor).

Grup, Babuk kaynak kodunu kullanmasına rağmen, Talos ayrıca yürütülebilir dosyada kurbanın adını vererek kodu özelleştirdiğini söyledi. RA Group enfeksiyonları ayrıca yerleşik, uyarlanmış bir fidye notu ile birlikte gelir. ekler .gagup şifrelenmiş dosyalara.

Grubun karanlık web sızıntı sitesi şu ana kadar sadece dört kurbanı gösteriyor – üçü ABD’de ve biri Kore’de. Tüm kurbanların fidye yazılımını 28 Nisan’da sona eren iki günlük bir süre içinde aldıklarını iddia ediyor.

RA Group şu anda Seul merkezli bir biyofarmasötik firmasından bir yıl boyunca azar azar veri sızdırdığını belirtiyor ve grubun “bu arada verileri satmaya çalışacağını” söylüyor.

RA Group ayrıca bir ABD donanım ve parça distribütörünü, bir servet yönetim şirketini ve bir sigorta komisyoncusunu şantajla aldığını iddia ediyor.

Talos, bilgisayar korsanlığı grubunun kurbanlara teması başlatmaları için üç gün verdiğini ve ardından dosyaları sızdırdığını söyledi.