Търсене
Close this search box.

Нова рансъмуер група атакува големи организации

Открита е нова заплаха от типа ransomware, насочена към големи компании с надеждата за също толкова големи плащания.

Изследователите по киберсигурност от Talos разкриха извършител, наречен RA Group, който стартира операциите си през април 2023 г., използвайки изходния код на Babuk, който преди това беше изтекъл, очевидно от един от бившите му членове.

Досега групата е атакувала успешно три организации в САЩ и една в Южна Корея. Изглежда, че тя няма индустриални предпочитания, тъй като жертвите са били в сферата на производството, управлението на активи, застраховането и фармацията.

Персонализирани бележки за откуп

В RA Group няма нищо особено уникално. Тя извършва двойни изнудвачески атаки, като краде чувствителни данни, докато криптира системите, с надеждата да мотивира жертвите да платят искания откуп. Нейният уебсайт изглежда е в процес на разработка, тъй като групата все още прави козметични промени. При изтичане на данни тя разкрива името на жертвата, списък на откраднатите данни, общия им размер и уебсайта на жертвата.

Изследователите добавят, че бележката за откуп е персонализирана за всяка отделна жертва, като твърдят, че това също е стандартна практика сред бандите с ransomware. Това, което не е стандартна практика обаче, е посочването на имената на жертвите в изпълнимите файлове.

Зловредният софтуер криптира само части от файловете, за да се придвижва по-бързо. След приключване на криптирането файловете получават разширението .GAGUP. След това рансъмуерът изтрива всичко в кошчето с API SHEmptyRecyclebinA, както и сенчестото копие на тома, като изпълнява локалния двоичен файл на Windows vssadmin.exe – административен инструмент, използван за манипулиране на сенчестите копия.

Въпреки това софтуерът за откуп не криптира всички файлове. Някои от тях остават достъпни, за да могат жертвите по-лесно да се свържат с групата. Некриптираните файлове са необходими на жертвите, за да изтеглят приложението qTox, използвано за връзка с нападателите.

 

Източник: По материали от Интернет

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
26 февруари 2024

Малави спря издаването на паспорти заради кибер...

Съобщава се, че правителството на Малави е спряло издаването на пас...
Бъдете социални
Още по темата
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
27/02/2024

ThyssenKrupp потвърждава ки...

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата...
26/02/2024

Малави спря издаването на п...

Съобщава се, че правителството на Малави...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!