Um novo grupo de ransomware conhecido como RA Group tornou-se o mais recente agente de ameaças a aproveitar o código-fonte vazado do ransomware Babuk para gerar sua própria variante.

A gangue que supostamente opera desde pelo menos 22 de abril de 2023, até o momento comprometeu três organizações nos EUA e uma na Coreia do Sul em vários setores de negócios, incluindo manufatura, gestão de patrimônio, seguradoras e produtos farmacêuticos.

O RA Group não é diferente de outras gangues de ransomware porque lança ataques duplos de extorsão e administra um site de vazamento de dados para aplicar pressão adicional sobre as vítimas para que paguem resgates.

O binário baseado no Windows emprega criptografia intermitente para acelerar o processo e evitar a detecção, sem mencionar a exclusão de cópias de sombra de volume e conteúdo da Lixeira da máquina.

O que diferencia o RA Group de outras operações de ransomware é que o agente da ameaça também foi observado vendendo os dados exfiltrados da vítima em seu portal de vazamento, hospedando as informações em um site TOR seguro.

A evolução constante e o lançamento de novas variantes de ransomware destacam as habilidades avançadas e a agilidade dos cibercriminosos, indicando que eles estão cada vez mais personalizando suas ferramentas e malwares de acordo com o alvo.