RA World: Новая угроза вымогательства для организаций
Согласно последним данным, программное обеспечение для вымогательства RA World считается переосмысленной версией ранее известной RA Group. Это подтверждается как схожестью методов шифрования, так и новым именем.
Происхождение RA World
Первое упоминание о RA World появилось в мае 2023 года, когда стало известно о применении модифицированной версии шифровальщика Babuk. Основные характеристики шифрования остались прежними:
- Использование симметричного шифра Curve25519
- Шифрование файлов с помощью HC-128 eSTREAM
Однако выявлено несколько изменений:
- Записка с требованием выкупа и зашифрованные файлы теперь имеют расширения «.GAGUP» или «.RAWLD».
- Применение метода периодического шифрования для избежания обнаружения конечных точек.
Цели и методы атаки
Жертвами RA World становятся люди из разных слоев общества, причем главные мишени располагаются в «западных странах», включая:
- США
- Германия
- Великобритания
- Тайвань
- Южная Корея
- Индия
Статистика показывает, что значительное количество атак было направлено на:
- Организации оптовой торговли
- Обрабатывающую промышленность
- Сфера здравоохранения
Техника, использующаяся хакерами
Перед тем как развернуть программу-вымогатель, хакеры сначала крадут данные жертв. Если требования не выполняются, украденные данные публикуются на специализированных веб-сайтах, один из которых доступен в clearnet.
Методы доступа включают:
- Компрометация контроллеров домена
- Распространение вредоносных компонентов через общий доступ SYSVOL в системах Windows
Во время выполнения Stage1.exe используется PowerShell, что может указывать на изменения в параметрах групповой политики, позволяющие запускать сценарии, манипулирующие конфигурациями.
География атак
RA World демонстрирует высокую активность атак в Европе и США, целясь на страны с развитой цифровой инфраструктурой и значительным экономическим потенциалом. Основные целевые отрасли включают:
- Здравоохранение и медицина
- Банковское дело и финансы
- Розничная и оптовая торговля
- Производство, дистрибуция и логистика
Пути защиты от программ-вымогателей
В условиях растущей угрозы со стороны программ-вымогателей, таким как RA World, организациям следует принимать проактивные меры для снижения рисков. Рекомендуемые практики включают:
- Ограничение административных прав
- Поддержание обновленных средств безопасности
- Регулярное резервное копирование
- Осторожность при работе с электронной почтой и веб-сайтами
- Постоянное обучение рискам социальной инженерии
Как заверяют эксперты в области кибербезопасности, их соблюдение поможет значительно сократить вероятность стать жертвой атак такого рода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
