新的RA Group勒索软件针对美国组织进行双重勒索攻击
一个名为“RA Group”的新勒索软件组织针对美国和韩国的制药、保险、财富管理和制造公司。
新的勒索软件行动始于 2023 年 4 月,当时他们在暗网上启动了一个数据泄露站点,以发布受害者的详细信息和被盗数据,采用了大多数勒索软件团伙使用的典型“双重勒索”策略。
虽然勒索门户网站于 2023 年 4 月 22 日启动,但第一批受害组织于 4 月 27 日发布,包括样本文件、被盗内容类型的描述以及被盗数据的链接。
在Cisco Talos的一份新报告中 ,研究人员解释说,RA Group 使用基于 Babuk 勒索软件泄露源代码的加密器,该勒索软件操作于 2021 年关闭。
上周, Sentinel Labs 报告称 ,至少有九种不同的勒索软件操作正在使用 2021 年 9 月在俄语黑客论坛上泄露的 Babuk 源代码。
因为它为威胁参与者提供了一种简单的方法来扩大他们的范围以涵盖 Linux和 VMware ESXi。
除了 Sentinel Labs 报告中引用的 Babuk 用户勒索软件组织外,Cisco Talos 还提到了 Rook、Night Sky、Pandora、Nokoyawa、Cheerscrypt、AstraLocker 2.0 和 ESXiArgs。
使用泄露的 Babuk 代码的勒索软件组
RA Group 的一个显着特征是每次攻击都有专门为目标组织编写的自定义赎金票据,而可执行文件也以受害者的名字命名。
该勒索软件以受害者机器上的所有逻辑驱动器和网络共享为目标,并试图加密特定文件夹,不包括与 Windows 系统、引导、Program Files 等相关的文件夹。
这是为了避免使受害者的系统无法使用,使其不太可能收到赎金。
RA Group的加密器采用 间歇加密,即在加密和不加密文件部分之间交替,以加快文件的加密速度。
但是,这种方法可能存在风险 ,因为它允许从文件中部分恢复某些数据。
加密数据时,加密器会使用curve25519和eSTREAM cipher hc-128算法。
加密文件附加文件扩展名“ .GAGUP ”,同时擦除所有卷影副本和回收站内容以防止轻松恢复数据。
删除卷影副本
受害者系统上的勒索字条名为“ How To Restore Your Files.txt ”,要求受害者使用 qTox Messenger 联系威胁参与者并协商赎金。
该说明还包括一个指向存储库的链接,该存储库包含从受害者那里窃取的文件,作为数据泄露的证据。
RA Group 的赎金票据样本
威胁行为者声称在勒索网站上发布被盗数据样本前三天向受害者提供,但与其他勒索软件操作一样,这可能是可以协商的。
由于这是一个相对较新的勒索软件操作,只有少数受害者,因此尚不清楚它们是如何破坏系统并在网络上横向传播的。
新的RA Group勒索软件针对美国组织进行双重勒索攻击相关推荐
- 【ONION勒索软件】Win10系统防护ONION勒索病毒的详细步骤
昨晚惊闻出现了一种强大的电脑病毒,并且已经有很多高校的电脑全部GG.因为有点晚了,我就没管了.一大早起床刷了一波朋友圈,情况比我们想象的要严重. 以下是昨晚在微信群看到的转发. ----------- ...
- 新的勒索软件在第一个月就有十名受害者
出现了一种名为"Dark Power"的新勒索软件操作,它已经在一个暗网数据泄露网站上列出了第一批受害者,并威胁说如果不支付赎金就公布数据. 勒索软件团伙的加密器的编译日期是 20 ...
- 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性
原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...
- Tycoon:针对多种平台上的Java JIMAGE的勒索软件
黑莓研究与情报团队和毕马威(KPMG)的英国网络响应服务团队报告说:" 威胁焦点:大亨勒索软件针对教育和软件行业 ." 该报告概述了"针对Windows和Linux的多平 ...
- 微软警告:警惕新型勒索软件 PonyFinal,已现身印度、伊朗和美国
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 今日,微软安全团队发布安全公告警告称,全球组织机构都应当部署新型勒索软件防御措施.该勒索软件被称为 PonyFinal,已现身两个多月 ...
- 勒索软件BlackByte出现新变种,系Go语言编写
BlackByte 是一个提供勒索软件即服务(RaaS)的攻击组织,自从 2021 年 7 月以来一直保持活跃.最初,BlackByte 使用 C# 开发,最近攻击者使用 Go 重写了恶意软件.FBI ...
- 又来了!针对VMware ESXi的新型勒索软件出现
近日,一种名为"Cheers"的新型勒索软件悄然出现在网络犯罪领域.Cheers是一种基于Linux 的勒索软件,主要针对 VMware ESXi平台,目前已有多家使用VMware ...
- 美国CISA联合发布了勒索软件防护指南
近日,美国CISA(国土安全部下属的网络安全和基础设施安全局)和MS-ISAC(州际信息共享和分析中心) 联合发布了勒索软件防护指南,该指南是以客户为中心的一站式资源,提供了最佳实践和预防,保护方法, ...
- Linux勒索软件,[图]发现针对Linux服务器和代码库的勒索软件
在感染目标主机并获得root级别权限之后,该恶意程序对对Linux网页服务配置或者代码研发环境配置文件发起攻击,攻击的路径包含/home, /root, /var/lib/mysql, /var/ww ...
最新文章
- python调用打印机_Python调用打印机参考例子
- c语言删除s字符串中所有子串t,从串s中删除所有和串t相同的子串的算法
- 创建一个dynamics 365 CRM online plugin (一) - Hello World Plugin
- rocket mq 监听端口_MQ消息最终一致性解决方案
- 【英语学习】【Level 07】U06 First Time L5 A Different City
- 我的docker随笔23:修改容器时区和添加中文支持
- Oracle数据库的四种启动方式
- 如何用 Nginx 禁止国外 IP 访问网站?
- 计算机主机配件及图解,组装电脑需要哪些配件?电脑组装教程之全程指导新手装机图解!...
- linux 常用查看日志命令--more 命令
- 常用的数字正则表达式
- 安装GLPI资产管理
- win10卸载预装软件
- Unity显示FPS帧数
- python编程课程是骗人的吧_在朋友圈买下编程课,你上的是Python还是成功学
- 那场泡沫破碎的一刻,已宣判了一生。
- SpringCloud(H版alibaba)之基本框架篇
- win10计算机中删除桌面,win10系统电脑桌面壁纸历史记录怎么删除
- ts讲解(接口interface)
- k8s-安装部署实战