Η RA World, μια αναδυόμενη ομάδα ransomware, είναι ολοένα και πιο ενεργή από τον Μάρτιο του 2024, χρησιμοποιώντας μια τακτική πολλαπλών εκβιασμών για να κλέψει δεδομένα και να απειλήσει να τα διαρρεύσει εάν δεν πληρωθούν τα λύτρα.
Δείτε επίσης: Ανώτατο Δικαστήριο Λος Άντζελες: Κλείσιμο συστημάτων λόγω ransomware
Ο ιστότοπος διαρροής της δείχνει μια πρόσφατη μετατόπιση των στόχων από τους οργανισμούς υγειονομικής περίθαλψης στον τομέα της παραγωγής, πιθανώς λόγω της αναζήτησης υψηλότερων πληρωμών λύτρων, αλλά ο λόγος παραμένει ασαφής. Η ομάδα RA World ransomware, που δραστηριοποιείται από τα μέσα του 2023, στοχεύει κυρίως στον κατασκευαστικό τομέα. Σύμφωνα με δεδομένα ιστοτόπων διαρροής, έχει επίσης επηρεάσει οργανισμούς στις ΗΠΑ, την Ευρώπη και την Ασία.
Η ομάδα άλλαξε πρόσφατα την επωνυμία της από RA Group σε RA World, όπως αντικατοπτρίζεται στα σημειώματα λύτρων και στην κρυπτογραφημένη επέκταση αρχείου (.RAWLD). Η ομάδα ransomware RA World διατηρεί έναν ιστότοπο διαρροής για να πιέσει τα θύματα να πληρώσουν λύτρα. Ο ιστότοπος επανασχεδιάστηκε το 2024, με ένα σκοτεινό θέμα και ενσωματώνοντας αναφορές στην ποπ κουλτούρα.
Ο ιστότοπος διαρροής εμφανίζει μια λίστα με τα θύματα και επιτρέπει στους επισκέπτες να αναζητήσουν σχετικές πληροφορίες σε μια πλατφόρμα κοινωνικής δικτύωσης. Για κάθε θύμα, η RA World μπορεί να αποκαλύψει φερόμενα κλεμμένα δεδομένα και να χρησιμοποιήσει χειραγωγικές τακτικές για να βλάψει τη φήμη του θύματος.
Η ανάλυση εντόπισε επιτιθέμενους της RA World, που στοχεύουν κακώς διαμορφωμένους ή ευάλωτους διακομιστές για αρχική πρόσβαση.
Δείτε ακόμα: Play ransomware: Νέα Linux παραλλαγή στοχεύει περιβάλλοντα VMWare ESXi
Για πλευρική κίνηση, οι εισβολείς χρησιμοποίησαν το Impacket για να εκτελέσουν απομακρυσμένες εντολές σε παραβιασμένα endpoints, εξάγοντας τη βάση δεδομένων NTDS, την ομάδα SAM και το μητρώο συστήματος, αρχειοθετώντας τις βάσεις δεδομένων με makecab και διαγράφοντας τα πρωτότυπα.
Μια πρόσφατη επίθεση ransomware της RA World χρησιμοποίησε μια αλυσίδα μόλυνσης πολλαπλών σταδίων. Το αρχικό πρόγραμμα φόρτωσης (Stage1.exe) αναγνώρισε τον τομέα του συστήματος και αναζήτησε κανόνες εξαίρεσης.
Στη συνέχεια ανέπτυξε το Stage2.exe σε μια κοινόχρηστη διαδρομή δικτύου, η συμπεριφορά της οποίας εξαρτιόταν από την κατάσταση της Ασφαλούς λειτουργίας, όπου αποκρυπτογραφούσε και εκτελούσε μια παραλλαγή Babuk χρησιμοποιώντας ένα κλειδί με βάση το όνομα τομέα.
Σύμφωνα με το Palo Alto Networks, η παραλλαγή Babuk (Stage3.exe) χρησιμοποιούσε προσαρμοσμένες τροποποιήσεις, συμπεριλαμβανομένου ενός νέου ονόματος mutex, ονόματος αρχείου σημειωμάτων λύτρων και κρυπτογραφημένης επέκτασης αρχείου.
Η ομάδα ransomware RA World, μοιράζεται ορισμένα TTP (Τακτικές, Τεχνικές και Διαδικασίες) με την BRONZE STARLIGHT, μια κινεζική ομάδα απειλών. Και οι δύο ομάδες χρησιμοποιούν το εργαλείο ανοιχτού κώδικα NPS, εκμεταλλεύονται μονάδες Impacket για πλευρική κίνηση και αναπτύσσουν ransomware που βασίζεται στο Babuk.
Δείτε επίσης: Ρώσοι hackers παραδέχτηκαν την εμπλοκή τους στο LockBit ransomware
Οι επιθέσεις ransomware έχουν γίνει ολοένα και πιο διαδεδομένες στο ψηφιακό μας τοπίο, θέτοντας σημαντικές απειλές για άτομα, επιχειρήσεις και ολόκληρους οργανισμούς. Αυτές οι κακόβουλες επιθέσεις συνήθως ξεκινούν όταν ένας ανυποψίαστος χρήστης κάνει κλικ σε έναν παραπλανητικό σύνδεσμο ή κατεβάζει λογισμικό παραβιασμένο, οδηγώντας στην κρυπτογράφηση κρίσιμων αρχείων και δεδομένων. Μόλις κλειδωθούν τα αρχεία, οι κυβερνοεγκληματίες απαιτούν λύτρα, συχνά σε κρυπτονομίσματα, με αντάλλαγμα το κλειδί αποκρυπτογράφησης. Οι επιπτώσεις τέτοιων επιθέσεων μπορεί να είναι καταστροφικές, με αποτέλεσμα οικονομικές απώλειες, λειτουργικές διακοπές και μακροχρόνιες βλάβες στη φήμη.
Πηγή: cybersecuritynews
