បច្ចុប្បន្ន ក្រុមហេគឃ័រ RA Group គឺជាអង្គការមេរោគ ransomware ដែលទើបតែបង្ហាញខ្លួន។ វាកំពុងវាយប្រហារយ៉ាងសកម្មទៅលើក្រុមហ៊ុនមួយចំនួននៅសហរដ្ឋអាមេរិក និងប្រទេសកូរ៉េខាងត្បូងដែលក្នុងនោះរួមមាន ក្រុមហ៊ុនឱសថ ក្រុមហ៊ុនធានារ៉ាប់រង ក្រុមហ៊ុនគ្រប់គ្រងទ្រព្យសម្បត្តិ និងក្រុមហ៊ុនផលិតផ្សេងៗទៀត។
អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខសាយប័រនៅក្រុមហ៊ុន Cisco Talos សង្កេតឃើញក្រុមហេគឃ័រកំពុងប្រើប្រាស់បច្ចេកទេស ការជំរិតពីរដងទូទៅដោយបង្កើតវេបសាបបញ្ចេញទិន្នន័យនៅលើគេហទំព័រងងឹត ដើម្បីបញ្ចេញព័ត៌មានដែលសម្របសម្រួល និងបង្ខំជនរងគ្រោះឱ្យបង់ប្រាក់លោះ។បន្ទាប់ពីមានការបែកធ្លាយនៅលើអ៊ីនធឺរណិតកាលពីថ្ងៃទី២២ ខែមេសា ឆ្នាំ២០២៣ ក្រុមមេរោគ ransomware ចាប់ផ្តើមផ្សព្វផ្សាយព័ត៌មានលម្អិតរបស់ជនរងគ្រោះដំបូងរបស់ពួកគេនៅថ្ងៃទី27 ខែមេសា ដោយបង្ហាញឯកសារគំរូ ប្រភេទទិន្នន័យ និងតំណភ្ជាប់ទិន្នន័យ។ក្រៅពីនេះ ក្រុមហេគឃ័រ RA Group ប្រើប្រាស់ឧបករណ៍បំលែងកូដដែលមកពីប្រភពកូដដែលលេចធ្លាយរបស់មេរោគ Babuk ransomware ដែលលែងដំណើរការហើយ។
ក្រុមអ្នកស្រាវជ្រាវនៅមន្ទីពិសោធន៍ Sentinel Labs រកឃើញថា បន្ទាប់ពីមានការលេចធ្លាយប្រភពកូដរបស់មេរោគ Babuk ransomware នៅលើវេទិកាហេគរុស្ស៊ីកាលពីខែកញ្ញាឆ្នាំ2021 យ៉ាងហោចណាស់ក្រុមមេរោគ ransomware ចំនួន៩ប្រើប្រភពកូដដើម្បីពង្រីកផ្ទៃវាយប្រហាររបស់ពួកគេទៅកាន់វេទិការួមមាន Linux និង VMware ESXi។
ក្រៅពីក្រុមមេរោគដែលមានបញ្ជាក់ក្នុងរបាយការណ៍របស់មន្ទីពិសោធន៍ Sentinel Labs ក្រុមហ៊ុន Cisco Talos ចងក្រងឯកសារអំពីការកំណត់ពេលវេលានៃការវាយប្រហារដោយក្រុមមេរោគផ្សេងៗដែលប្រើប្រាស់ ransomware offshoots ពីកូដប្រភព Babuk មួយចំនួនដោយក្នុងនោះរួមមាន Rook, Night Sky, Pandora, Nokoyawa, Cheerscrypt, AstraLocker 2.0 និង ESXiArgs។
ផ្ទុយទៅវិញ មេរោគ ransomware របស់ពួកគេកំណត់គោលដៅលើដ្រាយឡូជីខល និងបណ្តាញចែករំលែកទាំងអស់ លើកលែងតែហ្វូលឌ័រប្រព័ន្ធ Windows សំខាន់ៗដូចជា boot និង Program Files និងការអ៊ិនគ្រីបថតជាក់លាក់។ បច្ចេកទេសប្រថុយប្រថាននេះឆ្លាស់គ្នារវាងការអ៊ិនគ្រីប និងមិនអ៊ិនគ្រីបផ្នែកជាច្រើនរបស់ឯកសារ ដែលអាចធ្វើឱ្យមានការសង្គ្រោះទិន្នន័យមកវិញជាផ្នែកៗ។ ក្នុងអំឡុងពេលដំណើរការអ៊ិនគ្រីប អ្នកបំលែងកូដរបស់ក្រុមហេគឃ័រ RA Group ប្រើក្បួនដោះស្រាយ២ ដែលមានដូចជា curve25519 និង eSTREAM cipher hc-128។ក្រុមហេគឃ័រ RA Group បន្ថែមហ្វាល extension ប្រភេទ “.GAGUP” ទៅដល់ឯកសារដែលអ៊ិនគ្រីប និងធានាថាការចម្លងដានកម្រិតសំឡេង និងមាតិកា Recycle Bin ត្រូវលុប ដែលធ្វើឱ្យការស្ដារទិន្នន័យកាន់តែពិបាក។
កំណត់ចំណាំតម្លៃលោះរបស់ក្រុមហេគឃ័រ RA Group ដែលមានឈ្មោះថា How To Restore Your Files.txt’ ណែនាំជនរងគ្រោះឱ្យទំនាក់ទំនងជាមួយភ្នាក់ងារអ្នកគំរាមកំហែងតាមរយៈកម្មវិធី qTox messenger ដើម្បីពិភាក្សាអំពីការបង់ប្រាក់លោះ។ដោយសារតែការវាយប្រហារទើបតែកើតឡើងនាពេលថ្មីៗនេះ និងចំនួនជនរងគ្រោះនៅមានកំណត់ វិធីសាស្ត្រប្រតិបត្តិការមេរោគ ransomware ប្រើប្រាស់ដើម្បីបំពានប្រព័ន្ធ និងផ្សព្វផ្សាយតាមបណ្តាញនានានៅតែមិនទាន់មានភាពច្បាស់លាស់៕
ប្រភព gbhackers ចុះផ្សាយថ្ងៃទី១៧ ខែឧសភា ឆ្នាំ២០២៣
