RA Group利用泄露的Babuk代码在美国和韩国攻击公司 媒体
RA Group:新兴勒索病毒威胁
关键要点
RA Group 是一个新出现的勒索病毒团体,使用被泄漏的 Babuk 源代码进行攻击。主要攻击美国和韩国的制造业、财富管理、保险和制药行业。该团体采用双重勒索策略,公开受害者的数据以威胁迫使其支付赎金。Cisco Talos 提供了关于 RA Group 的迅速扩展及其攻击时间线的重要报告。RA Group 这个新发现的勒索病毒威胁团体正在利用泄露的 Babuk 源代码进行攻击,目标包括美国和韩国的多个企业。攻击行业涵盖了制造业、财富管理、保险提供商及制药。
在 5 月 15 日的一篇博文中, Cisco Talos 提到 RA Group 正在进行双重勒索攻击。与其他勒索病毒团体相似,RA Group 也运行一个数据泄漏网站,对未在指定时间内与其联络或拒绝支付赎金的受害者进行威胁,威胁其发布被盗数据。
Cisco Talos 的研究人员指出,RA Group 的运作正在迅速扩大。该团体在 4 月 22 日启动了数据泄漏网站,而到了 4 月 27 日,Cisco Talos 观察到首批三名受害者,接著在 4 月 28 日又增加了一名受害者。研究人员还表示,在公开受害者详细信息后,RA Group 对泄漏网站进行了外观上的更改,这证实他们仍处于运作的早期阶段。
这一消息的重要性在于,这是对 上周报告 的跟进,该报告来自 SentinelLabs,显示出有越来越多的证据表明,ESXi 虚拟机仍然是勒索病毒团体的有价值目标,而在 2021 年 9 月泄漏的 Babuk 源代码为威胁行为者提供了前所未有的见解,了解有组织的勒索病毒团体的开发运作。
Cisco Talos 在 5 月 15 日汇总了一个由使用从泄漏的 Babuk 源代码衍生的勒索病毒家族进行的这些攻击的时间线。
据 Tanium 的首席安全顾问 Timothy Morris 表示,Babuk 泄漏的勒索病毒已经衍生出多个定制的恶意代码家族。Morris 指出,它利用了多个已知软件漏洞,包括 Exchange、Struts、WordPress、Atlassian Confluence、Oracle WebLogic 服务器、SolarWinds Orion 和 Liferay,并且会中断备份和删除卷影副本。
闪电加速器优惠码“机构拥有健全的漏洞管理计划并定期修补是至关重要的,”Morris 说道,“预防措施并没有改变。了解你的环境是什么样子,对于攻击者来说,你的环境反映出什么。这包括硬件、软件及版本的清单。保持 EDR 和网络监控工具的最新状态,持续监控 IOC 和行为。”