Эта новая группа программ-вымогателей нацелена на крупный бизнес — вот что вам нужно знать
вычисления techradar.com Новости

Эта новая группа программ-вымогателей нацелена на крупный бизнес — вот что вам нужно знать

17 мая 2023 г.

Обнаружена новая программа-вымогатель, нацеленная на крупный бизнес в надежде одинаково крупные выплаты.

Исследователи кибербезопасности из Talos обнаружили злоумышленника под названием RA Group, который начал свою деятельность в апреле 2023 года, используя исходный код Babuk, который ранее был опубликован, по-видимому, одним из его бывших членов.

На данный момент группа успешно атаковала три организации в США и одну в Южной Корее. Похоже, что у него нет отраслевых предпочтений, поскольку жертвами стали производство, управление капиталом, страхование и фармацевтика.

Персонализированные заметки о выкупе

В RA Group нет ничего особенно уникального. Он запускает атаки с двойным вымогательством, похищая конфиденциальные данные при шифровании систем, в надежде побудить жертв заплатить требование выкупа. Его веб-сайт, похоже, находится в стадии разработки, так как группа все еще вносит косметические изменения. При утечке данных он раскрывает имя жертвы, список украденных данных, общий размер и веб-сайт жертвы.

Примечание о выкупе персонализируется для каждой отдельной жертвы, добавили исследователи, утверждая, что это также является стандартной практикой среди злоумышленников-вымогателей. Однако нестандартной практикой является указание имен жертв в исполняемых файлах.

Подробнее

 > Hitachi Energy подтверждает утечку данных после пострадал от программы-вымогателя Clop

> Hatch Bank заявляет, что данные 140 000 клиентов были украдены после взлома

> Вот наши краткое изложение лучших средств защиты от кражи удостоверений личности

Вредоносная программа шифрует только части файлов, чтобы двигаться быстрее. После завершения шифрования файлы получают расширение .GAGUP. Затем программа-вымогатель удаляет все в корзине с помощью API SHEmptyRecyclebinA, а также теневое копирование тома, выполняя локальный двоичный файл Windows vssadmin.exe, инструмент администрирования, используемый для управления теневыми копиями.

Вымогатель не выполняет шифрование. все файлы, однако. Некоторые оставлены доступными, чтобы жертвам было легче связаться с группой. Незашифрованные файлы необходимы жертвам для загрузки приложения qTox, используемого для связи с злоумышленниками.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE