ظهور مجموعة تحمل اسم RA GROUP بفيروس فيدية وتسريبات لاكثر من 2.5 تيرابايت

News
ظهور مجموعة "RA GROUP" على الإنترنت في 22 أبريل ، فقد ادعت بالفعل أنها سرقت ما يقرب من 2.5 تيرابايت من البيانات عبر أربعة ضحايا
Ahmed Rehan
May 17, 2023, 5 p.m.
ahmed_rehan
ظهور مجموعة تحمل اسم RA GROUP بفيروس فيدية وتسريبات لاكثر من 2.5 تيرابايت

قال باحثون في شركة الأمن السيبراني سيسكو تالوس"Cisco Talos" أن مجموعة من برامج الفدية ظهرت في الأسابيع الأخيرة وأدرجت بالفعل أربعة ضحايا من بينهم ثلاثة في الولايات المتحدة في موقع التسريب الخاص بها.

المجموعة تطلق على نفسها اسم "RA GROUP" وهي تعد أحدث كيان يستخدم كود مصدر(Source code) الخاص بفيروس الفدية Babuk

والذي قام مطوره بنشره في سبتمبر 2021 في منتدى باللغة الروسية, وبعد شهرين فقط من نشر الكود حدد تالوس مجموعة تسمى "Tortillia" تستخدم نفس الكود لاستهداف خوادم Microsoft Exchange  في بلدان متعددة.وفي يوم الخميس السابق ، أفاد باحثون في SentinelLabs بتحديد 10 عائلات مختلفة لبرامج الفدية تقوم بنشر فيروسات VMware ESXi hypervisor استنادًا إلى كود Babuk الذي تم تسريبه.

 

على الرغم من ظهور مجموعة "RA GROUP"  على الإنترنت في 22 أبريل ، فقد ادعت بالفعل أنها سرقت ما يقرب من 2.5 تيرابايت من البيانات عبر أربعة ضحايا فقط ، ثلاثة في الولايات المتحدة وواحد في كوريا الجنوبية.تم نشر ثلاثة من الضحايا في 27 أبريل والاخيرة في 28 أبريل. وتشمل الأهداف الأمريكية شركة صغيرة في صناعة التأمين وشركتين من كبرى الشركات في الخدمات المالية ومورد إلكترونيات تخدم الكمبيوتر والاتصالات والفضاء والصناعات البحرية والعسكرية.

 

الجدير بالذكر ان تلك المجموعة تستخدم مذكرات فدية مخصصة لكل ضحية تخبرهم أن أمامهم ثلاثة أيام للدفع قبل نشر العينة ، وسبعة أيام قبل نشر المجموعة الكاملة ، وفقًا لملاحظات الفدية التي حصل عليها تالوس. يتم أيضًا تشفير أسماء كيانات الضحايا في الملفات القابلة للتنفيذ ، وهي خاصية يصفها الباحثون بأنها "غير عادية" لمجموعات برامج الفدية الضارة!. هذا لتجنب جعل نظام الضحية غير قابل للاستخدام ، مما يجعل من غير المرجح أن تحصل على دفعة فدية. يستخدم مشفر مجموعة RA تشفيرًا متقطعًا ، وهو البديل بين التشفير وعدم تشفير أقسام الملف لتسريع تشفير الملف. ومع ذلك ، قد يكون هذا الأسلوب محفوفًا بالمخاطر لأنه يسمح باستعادة بعض البيانات جزئيًا من الملفات. عند تشفير البيانات ، يستخدم المشفر خوارزميات curve25519 و eSTREAM cipher hc-

يتم إلحاق الملفات المشفرة بامتداد اسم الملف ".GAGUP" بينما يتم مسح كافة النسخ الاحتياطية لوحدة التخزين ومحتويات سلة المحذوفات لمنع استعادة البيانات بسهولة.

تسمى مذكرة الفدية التي تم إسقاطها على نظام الضحية "How To Restore Your Files.txt" وتتطلب من الضحية استخدام qTox messenger للاتصال بالجهات المهددة والتفاوض على فدية. تتضمن المذكرة أيضًا رابطًا يحتوي على ملفات مسروقة من الضحية كدليل على خرق البيانات.

انتشار فيروس الفدية وكثرة ضحاياه في الأونة الاخيرة جعلت الحاجة إلى انظمة حماية ونسخ احتياطية للمعلومات من الأمور التي لا يمكن الاستغناء عنها . لا أحد يعلم من سيكون الضحية التالية ولكن فيما تنتظر ابدأ بحماية ملفاتك.

 

المصادر :

https://www.bleepingcomputer.com/news/security/new-ra-group-ransomware-targets-us-orgs-in-double-extortion-attacks/

https://cyberscoop.com/ransomware-group-ra-group-talos/

https://blog.talosintelligence.com/ra-group-ransomware/

RA GROUP Babuk curve25519 GAGUP How To Restore Your Files.txt