近日，一个名为RA group的新勒索软件组织进入人们的视野，该网络犯罪团伙自2023年4月22日起就已经开始有所“行动”，目前仍在迅速扩大其勒索活动的范围。

安全研究员Chetan Raghuprasad在与the Hacker News分享的一份报告中提到：到目前为止，该组织已经入侵了美国的三个组织和韩国的一个组织，涉及制造业、财富管理、保险提供商和制药等多个垂直行业。

RA勒索组织运营着一个信息泄露网站，他们向受害者进行双重勒索攻击，迫使他们支付赎金。Raghuprasad解释称：RA集团使用的是定制赎金笔记，其中包括受害者的名字和下载泄露证据的唯一链接。如果受害者在三天内未与该组织联系，那他们就会直接泄露受害者的信息。

此外，该组织还采取了一些措施以避免通过硬编码列表加密系统文件和文件夹，从而允许受害者下载qTox聊天应用程序。受害者可通过赎金通知上提供的qTox ID与该组织取得联系。

RA Group与其他勒索软件的不同之处在于，他们会将信息托管在安全的TOR站点上，然后直接在他们的泄漏网站上出售受害者的泄露数据。大约一周前，SentinelOne表示，现在有很多威胁行为者通过Babuk勒索软件代码开发出了十几种能够针对Linux系统的“衍生品”。同时，也有越来越多的黑客开始使用Babuk构建器来开发ESXi和Linux勒索软件，这已然成为了一个明显的趋势。

在过去一年中，采用Babuk源代码的其他勒索软件参与者还包括了AstraLocker和Nokoyawa。Cheerscrypt是另一种基于Babuk的勒索软件。此外，还有另外两种代号为Rancoz和BlackSuit的新型勒索软件，后者专门针对Windows和VMware ESXi服务器。

Cyble表示：这些不断更新升级的勒索软件，从侧面透露出了目前的威胁行为者们已经是一批具备先进的专业技能和敏捷性的人，他们都熟知目前各国实施的网络安全措施，且能够站在这些政策的对立面，定制“专属”勒索软件。