Un nouveau rançongiciel du groupe RA cible des organisations américaines dans le cadre d’une double extorsion de fonds

Un nouveau groupe de ransomware baptisé “RA Group” cible des entreprises pharmaceutiques, d’assurance, de gestion de patrimoine et de fabrication aux États-Unis et en Corée du Sud.

La nouvelle opération de ransomware a commencé en avril 2023, lorsqu’ils ont lancé un site de fuite de données sur le dark web pour publier les détails des victimes et les données volées, s’engageant dans la tactique typique de “double-extorsion” utilisée par la plupart des gangs de ransomware.

Alors que le portail d’extorsion a été lancé le 22 avril 2023, le premier lot d’organisations victimes a été publié le 27 avril, comprenant des exemples de fichiers, une description du type de contenu volé et des liens vers les données volées.

Dans un nouveau rapport de Cisco Talos, les chercheurs expliquent que RA Group utilise un crypteur basé sur le code source divulgué du ransomware Babuk, un ransomware qui a cessé ses activités en 2021.

La semaine dernière, Sentinel Labs a signalé qu’au moins neuf opérations distinctes de ransomware utilisent le code source de Babuk qui a été divulgué sur un forum de pirates russophones en septembre 2021, car il donne aux acteurs de la menace un moyen facile d’élargir leur champ d’action pour couvrir Linux et VMware ESXi.

Outre les groupes de ransomware cités dans le rapport de Sentinel Labs comme utilisateurs de Babuk, Cisco Talos mentionne également Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0 et ESXiArgs.

Détails de l’attaque du groupe RA

Une caractéristique notable de RA Group est que chaque attaque comporte une note de rançon personnalisée, rédigée spécifiquement pour l’organisation ciblée, tandis que l’exécutable porte également le nom de la victime.

Le ransomware cible tous les lecteurs logiques de la machine de la victime et les partages réseau et tente de chiffrer des dossiers spécifiques, à l’exception de ceux liés au système Windows, au démarrage, à Program Files, etc.

Il s’agit d’éviter de rendre le système de la victime inutilisable, ce qui rendrait peu probable le paiement d’une rançon.

Le crypteur de RA Group utilise un cryptage intermittent, c’est-à-dire qu’il alterne entre le cryptage et le non cryptage de certaines parties d’un fichier afin d’accélérer le cryptage de ce dernier. Cependant, cette approche peut être risquée car elle permet de récupérer partiellement certaines données des fichiers.

Lors du cryptage des données, le crypteur utilise les algorithmes curve25519 et eSTREAM cipher hc-128.

Les fichiers chiffrés sont accompagnés de l’extension de nom de fichier “.GAGUP“tandis que toutes les copies d’ombre des volumes et le contenu de la corbeille sont effacés pour empêcher une restauration aisée des données.

La note de rançon déposée sur le système de la victime s’intitule ‘Comment restaurer vos fichiers.txtet demande à la victime d’utiliser qTox messenger pour contacter les acteurs de la menace et négocier une rançon.

La note contient également un lien vers un référentiel contenant des fichiers volés à la victime comme preuve de la violation de données.

Les auteurs de la menace prétendent donner aux victimes trois jours avant qu’un échantillon des données volées ne soit publié sur les sites d’extorsion, mais comme pour d’autres ransomwares, ce délai est susceptible d’être négocié.

Comme il s’agit d’un ransomware relativement nouveau, qui n’a fait que quelques victimes, on ne sait pas exactement comment il pénètre dans les systèmes et se propage latéralement sur un réseau.