ក្រុមមេរោគចាប់ជម្រិតថ្មីឈ្មោះថា FA Group ក្លាយជាហេគឃ័រដោយទាញយកប្រភពកូដចេញពីមេរោគចាប់ជម្រិត Babuk ដើម្បីបង្កើតជាអញ្ញត្តិផ្ទាល់ខ្លួន។ក្រុមឧក្រឹដ្ឋជនចាប់ផ្តើមតាំងពីពាក់កណ្តាលខែមេសា ឆ្នាំ២០២៣ បើយោងតាមក្រុមហ៊ុនសន្តិសុខ Cisco Talos។
រហូតមកដល់ពេលនេះ ក្រុមនេះលួចចូលទៅក្នុងអាជីវកម្មសំខាន់ៗដូចជា ការផលិត ការគ្រប់គ្រងទ្រព្យសម្បត្តិ អ្នកផ្តល់សេវាធានារ៉ាប់រ៉ងនិងឱសថ នៅក្នុងប្រទេសអាមេរិក និងកូរ៉េខាងត្បូង បើយោងតាមការរៀបរាប់ពីអ្នកស្រាវជ្រាវសន្តិសុខ។ ក្រុម RA Group គ្មានអ្វីខុសប្លែកពីក្រុមចាប់ជម្រិតផ្សេងនោះទេ វាដាក់ចេញការជម្រិតទារប្រាក់ផ្ទួនៗ និងដំណើរការ data leak site ដើម្បីដាក់សម្ពាធលើជនរងគ្រោះឱ្យបង់ប្រាក់លោះ។
ប្រព័ន្ធគោល២មានមូលដ្ឋាននៅលើវីនដូ អុីនគ្រីបផ្នែកតូចៗ (intermittent encryption) ដើម្បីពន្លឿនដំណើរការ និងគេចពីការរកឃើញ ដោយមិនរាប់បញ្ចូលពីការលុបសម្លេង និង contents នៅក្នុងធុងសម្រាម (Recycle Bin) របស់ម៉ាស៊ីនទេ។ ក្រុម RA Group ប្រើសារជម្រិតទារប្រាក់ ដែលមានបង្ហាញឈ្មោះ និងលីងដោនឡូតច្រោះយកទិន្នន័យ។ ប្រសិនបើជនរងគ្រោះមិនព្រមទាក់ទងទៅហេគឃ័រក្នុងរយៈពេល ៣ថ្ងៃ ហេគឃ័រនឹងបញ្ចេញឯកសារជនរងគ្រោះជាសាធារណៈ។ អ្នកអាចការពារការអុីនគ្រីប systems file and folders ដោយគ្រាន់តែបង្កកកូដ (hard-coded list) ដូច្នេះជនរងគ្រោះអាចដោនឡូត qTox chat app និងឈានទៅប្រើ qTox ID នៅក្នុងសារជម្រិត (ransom note)។ ក្រុម RA Group ជាផ្នែក១នៃប្រតិបត្តិការជម្រិតគឺថាវាលក់ទិន្នន័យជនរងគ្រោះ ដោយបង្ហោះព័ត៌មាននៅលើគេហទំព័រ TOR។
ជាងនេះទៀត ក្រុមហ៊ុនសន្តិសុខ SentinelOne បង្ហាញថាហេគឃ័រផ្លាស់ប្តូរដ៏មានជំនាញនិងឈានមុខដោយចាប់យកកូដមេរោគចាប់ជម្រិត Babuk ដើម្បីវិវត្តអញ្ញត្តិជាច្រើនសម្រាប់វាយប្រហារប្រព័ន្ធលីនុច។ ហេគឃ័រក៏ប្រើ Babuk ដើម្បីវិវត្តមេរោគ ESXi និងលីនុច បើយោងតាមការបញ្ជាក់ពីក្រុមហ៊ុនសន្តិសុខសាយប័រ។ក្រុមហ៊ុនកម្មវិធី Cyble រៀបរាប់ថា ការវិវត្តឥតឈប់ឈរនិងការចេញផ្សាយនៃអញ្ញត្តិមេរោគចាប់ជម្រិត ransomware ថ្មីបង្ហាញពីជំនាញ និងភាពរហ័សរហួនរបស់ហេគឃ័រ។ យើងអាចនិយាយថា ពួកគេកំពុងតែត្រៀមខ្លួនឆ្លើយតបនឹងវិធានការសន្តិសុខតាមអុីនធឺណិត និងការត្រួតពិនិត្យរួចជាស្រេច៕
