Un nouveau groupe de rançongiciels nommé « RA Group » cible les entreprises pharmaceutiques, d’assurance, de gestion de patrimoine et de fabrication aux États-Unis et en Corée du Sud.
La nouvelle opération de ransomware a commencé en avril 2023, lorsqu’ils ont lancé un site de fuite de données sur le dark web pour publier les détails des victimes et les données volées, s’engageant dans la tactique typique de « double extorsion » utilisée par la plupart des gangs de ransomwares.
Alors que le portail d’extorsion a été lancé le 22 avril 2023, le premier lot d’organisations victimes a été publié le 27 avril, comprenant des exemples de fichiers, une description du type de contenu qui a été volé et des liens vers des données volées.
Dans un nouveau rapport de Cisco Talos, les chercheurs expliquent que RA Group utilise un chiffreur basé sur le code source divulgué pour le ransomware Babuk, une opération de ransomware qui s’est arrêtée en 2021.
La semaine dernière, Sentinel Labs a signalé qu’au moins neuf opérations de rançongiciels distinctes utilisent le code source de Babuk qui a été divulgué sur un forum de hackers russophone en septembre 2021, car il offre aux acteurs de la menace un moyen facile d’élargir leur portée pour couvrir Linux et VMware ESXi.
En plus des groupes de rançongiciels cités dans le rapport Sentinel Labs en tant qu’utilisateurs de Babuk, Cisco Talos mentionne également Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0 et ESXiArgs.
Détails de l’attaque du groupe RA
Une caractéristique notable de RA Group est que chaque attaque comporte une note de rançon personnalisée écrite spécifiquement pour l’organisation ciblée, tandis que l’exécutable porte également le nom de la victime.
Le ransomware cible tous les lecteurs logiques sur la machine de la victime et les partages réseau et tente de chiffrer des dossiers spécifiques, à l’exclusion de ceux liés au système Windows, au démarrage, aux fichiers de programme, etc.
Ceci afin d’éviter de rendre le système de la victime inutilisable, rendant ainsi peu probable le paiement d’une rançon.
Le chiffreur de RA Group utilise le chiffrement intermittent, qui consiste à alterner entre le chiffrement et le non chiffrement des sections d’un fichier pour accélérer le chiffrement d’un fichier. Cependant, cette approche peut être risquée car elle permet de récupérer partiellement certaines données à partir de fichiers.
Lors du chiffrement des données, le chiffreur utilisera les algorithmes de chiffrement curve25519 et eSTREAM hc-128.
Les fichiers cryptés sont ajoutés à l’extension de nom de fichier « .GAGUP » tandis que tous les clichés instantanés de volume et le contenu de la corbeille sont effacés pour empêcher une restauration facile des données.
La note de rançon déposée sur le système de la victime s’appelle « Comment restaurer vos fichiers.txt » et oblige la victime à utiliser qTox Messenger pour contacter les acteurs de la menace et négocier une rançon.
La note comprend également un lien vers un référentiel contenant des fichiers volés à la victime comme preuve de la violation de données.
Les acteurs de la menace prétendent donner aux victimes trois jours avant qu’un échantillon de données volées ne soit publié sur des sites d’extorsion, mais comme d’autres opérations de ransomware, cela est probablement ouvert à la négociation.
Comme il s’agit d’une opération de ransomware relativement nouvelle, avec seulement quelques victimes, on ne sait pas comment ils violent les systèmes et se propagent latéralement sur un réseau.