Компания Trend Micro недавно обнаружила новую волну активности вымогательской группировки RA World, также известной как RA Group. Группа начала свою вредоносную деятельность ещё в апреле 2023 года и за время своего существования успела атаковать множество организаций, преимущественно в секторах здравоохранения и финансов, расположенных в США, Германии, Индии и на Тайване.
Исследователи Trend Micro выявили, что последняя волна атак RA World была нацелена на несколько организаций здравоохранения в Латинской Америке. Атаки выполнялись в несколько этапов, чтобы повысить общие шансы на успешное выполнение операции.
Начальный доступ. Атака начинается с того, что хакеры проникает в компьютерную систему через контроллеры доменов. Здесь играет ключевую роль редактирование групповой политики (GPO), которое позволяет злоумышленникам устанавливать свои правила в системе жертвы.
Этап 1 (Stage1.exe). После проникновения в систему, вирус использует файл “Stage1.exe” для оценки и подготовки сети к дальнейшей атаке. Это включает в себя проверку контроллеров домена и подготовку к копированию следующего этапа вируса.
Этап 2 (Stage2.exe). На этом этапе вирус копирует себя на другие машины в сети и начинает подготовку к шифрованию файлов. “Stage2.exe” ответственен за распространение вредоносного кода внутри целевой сети, готовя почву для запуска основной атаки.
Этап 3 (Stage3.exe). Это конечный этап, на котором вирус активируется, шифруя файлы на заражённых компьютерах и требуя выкуп за их восстановление. Он использует сложные методы шифрования, делая файлы недоступными для пользователей и систем.
Схема многоэтапной атаки RA World
Кроме того, вредонос умеет перезагружать систему в специальном безопасном режиме, что позволяет ему избежать обнаружения антивирусами. Он также стирает следы своего присутствия после выполнения атаки, усложняя анализ и восстановление.
Для минимизации рисков стать одной из жертв атак RA World рекомендуется применять лучшие защитные практики: ограничение административных прав, своевременное обновление используемого софта, регулярное резервное копирование данных, осторожность при взаимодействии с электронной почтой и веб-сайтами, а также обучение сотрудников компании основам кибербезопасности.
Применение комплексного подхода к безопасности позволяет значительно укрепить потенциальные точки доступа в систему, качественно улучшая защиту предприятия.