СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
14.04.2025
#Dev#ИБ

Nova RaaS: Новая угроза от программы-вымогателя RaLord

Nova RaaS: Новая угроза от программы-вымогателя RaLord

Источник: www.sonicwall.com

В последние недели в среде киберпреступников появилась новая угроза — программа-вымогатель Nova RaaS, распространяющая вредоносное ПО, известное как RaLord. Эта группа действует независимо и не нацелена на образовательные учреждения или некоммерческие организации, что делает её особенно опасной для коммерческого сектора.

Технические особенности RaLord

Программа-вымогатель RaLord работает на базе исполняемого файла, разработанного в языке программирования Rust. Для её активации необходимо запустить консольное окно через conhost.exe, в ходе которого будет производиться проверка файлов в зараженной системе на предмет шифрования.

  • Программа демонстрирует признаки неграмотности, пытаясь зашифровать себя во время работы.
  • После успешного взлома системы RaLord генерирует файл readme с уведомлением о требовании выкупа.
  • Уведомление имеет нетрадиционный формат — вместо фиксированной суммы указано, что жертвы могут связаться с хакерами через qTox ID.

Методы работы и ведение переговоров

Метод ведения переговоров через qTox создает дополнительную неопределенность для жертв, требуя от них общения с преступниками для определения суммы выкупа.

Сайт группы и дополнительные функции

Сайт группы на darknet выполняет несколько функций:

  • Объявления о жертвах и детали украденных данных.
  • Обратный отсчет времени, указывающий на остаток времени до публикации скомпрометированных данных в случае неоплаты выкупа.
  • Демонстрация текущих усовершенствований вредоносного ПО RaLord, что свидетельствует о постоянном совершенствовании тактики группы.
  • Обзор модели «программа-вымогатель как услуга», предлагающий потенциальным партнерам присоединиться к их преступной деятельности.

Обнаружение и защита

Согласно информации, обнаружение и защита от программы-вымогателя RaLord осуществляется системой SonicWall Capture Labs, с идентификацией по сигнатуре GAV:RALord.RSM (троян). Это делает RaLord заметной угрозой в экосистеме программ-вымогателей благодаря своей уникальной операционной модели и техническим характеристикам.

Ситуация требует повышенного внимания со стороны организаций и пользователей, чтобы предотвратить возможные инциденты кибербезопасности и минимизировать риски утечки данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: