Недавно компания Cisco Talos обнаружила нового исполнителя программ-вымогателей RA Group, который появился в апреле 2023 года и, похоже, использует в своих атаках утечку исходного кода Babuk. После того как в сентябре 2021 года предполагаемый член группы Babuk слил полный исходный код своего вымогательского ПО, появились различные семейства вымогательского ПО, использующие слитый код Babuk.
Группа проводит атаки с двойным вымогательством. Как и другие исполнители вымогательских программ, RA Group также использует сайт утечки данных, на котором угрожает опубликовать данные, полученные от жертв, которые не выходят на связь в течение определенного времени или не выполняют требования о выкупе. Такая форма двойного вымогательства повышает вероятность того, что жертва заплатит требуемый выкуп.
RA Group распространяет свою ransomware со встроенной запиской о выкупе, специально написанной для каждой жертвы с указанием ее имени, что является обычной практикой среди групп ransomware. Однако необычно, что RA Group называет имя жертвы и в исполняемом файле.
Indicators of Compromise
Onion Domains
- hkpomcx622gnqp2qhenv4ceyrhwvld3zwogr4mnkdeudq2txf55keoad.onion
SHA256
- 3ab167a82c817cbcc4707a18fcb86610090b8a76fe184ee1e8073db152ecd45e