NUEVO RANSOMWARE RA GROUP APUNTA A ORGANIZACIONES DE EE.UU EN ATAQUE DE DOBLE EXTORSIÓN

15/05/2023

BOLETÍN NRO 2023-306

Un nuevo grupo de ransomware llamado 'RA Group' tiene como objetivo empresas farmacéuticas, de seguros, de gestión de patrimonio y de fabricación en los Estados Unidos y Corea del Sur. Parece estar utilizando el código fuente filtrado de Babuk en sus ataques.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   CRÍTICO Amenaza: Ra Group                                  Categoría: Malware El ransomware se dirige a todas las unidades lógicas en la máquina de la víctima y los recursos compartidos de red e intenta cifrar carpetas específicas, excluyendo las relacionadas con el sistema de Windows, el arranque, los archivos de programa, etc. Esto es para evitar que el sistema de la víctima quede inutilizable, por lo que es poco probable que reciba un pago de rescate. El encriptador de RA Group usa  encriptación intermitente, que es una alternativa entre encriptar y no encriptar secciones de un archivo para acelerar el encriptado de un archivo. Sin embargo, este enfoque puede ser riesgoso  ya que permite que algunos datos se recuperen parcialmente de los archivos. Al encriptar datos, el encriptador utilizará los algoritmos curve25519 y eSTREAM cipher hc-128. El malware de RA Group enumera los recursos compartidos de red y los recursos de red disponibles en la máquina de la víctima utilizando las API NetShareEnum, WNetOpenEnumW y WNetEnumResourceW para cifrar archivos en las unidades asignadas de forma remota de otras máquinas o servidores. A los archivos cifrados se les agrega la extensión de nombre de archivo ".GAGUP", mientras que todas las instantáneas de volumen y el contenido de la papelera de reciclaje se borran para evitar una fácil restauración de datos. La nota de rescate lanzada en el sistema de la víctima se llama 'How To Restore Your Files.txt' y requiere que la víctima use qTox messenger para contactar a los actores de la amenaza y negociar un rescate. La nota también incluye un enlace a un depósito que contiene archivos robados a la víctima como prueba de la violación de datos. Los ciberdelincuentes afirman dar a las víctimas tres días antes de que se publique una muestra de los datos robados en los sitios de extorsión, pero al igual que otras operaciones de ransomware, es probable que esto esté abierto a negociación. Indicadores de Compromiso Hash MD5: 15b1147bcc846fe5dd750a3b02b8e552 SHA-256: 3ab167a82c817cbcc4707a18fcb86610090b8a76fe184ee1e8073db152ecd45e

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1:  New RA Group ransomware targets U.S. orgs in double-extortion attacks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​