RA World, grupa za ransomware u nastajanju, sve je aktivnija od marta 2024. godine, koristeći taktiku višestrukog iznuđivanja kako bi ukrala podatke i prijetila da će ih procuriti ako se otkupnina ne plati.
Njihovo mjesto curenja pokazuje nedavni pomak u ciljevima sa zdravstvenih organizacija na proizvodnju, vjerovatno zbog traženja veće isplate otkupnine, ali razlog ostaje nejasan.
RA World ransomware grupa, aktivna od sredine 2023., prvenstveno cilja na proizvodni sektor; prema podacima s mjesta curenja, to je takođe uticalo na organizacije u SAD-u, Evropi i Aziji.
RA World’s renovirana poruka o otkupnini.
Grupa je nedavno promijenila svoj brend sa RA Group na RA World , što se ogleda u njihovoj napomeni o otkupnini i šifriranoj ekstenziji datoteke (.RAWLD), dok njihova poruka o otkupnini prijeti da će objaviti ukradene podatke ako se žrtve ne povinuju.
Grupa RA World ransomware održava lokaciju za curenje podataka kako bi izvršila pritisak na žrtve da plate otkupninu. Stranica je redizajnirana 2024. godine i sadrži mračnu temu i uključuje reference na pop kulturu.
Stranica za curenje prikazuje listu žrtava i omogućava posjetiteljima da traže relevantne informacije na platformi društvenih medija.
Za svaku žrtvu, RA World može otkriti navodno ukradene podatke i koristiti manipulativne taktike da naruši reputaciju žrtve.
.webp)
Glavna stranica trenutne RA World stranice za curenje informacija.
Analiza je identifikovala RA World napadače koji ciljaju na pogrešno konfigurisane ili ranjive servere okrenute internetu za početni pristup.
Cortex XDR je spriječio pokušaje izbacivanja vjerodajnica pomoću alata PsExec i SysInternals .
Za bočno kretanje, napadači su koristili Imppacket za izvršavanje daljinskih komandi na kompromitovanim krajnjim tačkama, izdvajajući NTDS bazu podataka, SAM košnicu i sistemski registar arhiviranjem baza podataka pomoću makecab-a i brisanjem originala.
.webp)
Spriječen pokušaj izvršavanja više naredbi, kao što se vidi u Cortex XDR.
Nedavni RA World ransomware napad koristio je višestepeni lanac infekcije. Početni učitavač (Stage1.exe) identifikovao je domen sistema i tražio pravila isključenja.
Zatim je implementirao Stage2.exe na dijeljenu mrežnu putanju, čije je ponašanje ovisilo o statusu sigurnog načina, gdje je dešifrirao i pokrenuo Babuk varijantu koristeći ključ zasnovan na imenu domene.
Prema Palo Alto Networks , varijanta Babuk (Stage3.exe) koristila je prilagođene modifikacije, uključujući novo ime muteksa, naziv datoteke s bilješkom o otkupnini i šifrovanu ekstenziju datoteke.
.webp)
Opis preventivnog upozorenja.
RA World, haker ransomware-a, dijeli neke TTP-ove (taktike, tehnike i procedure) sa BRONZE STARLIGHT, kineskom prijetnjom.
Obje grupe koriste alat otvorenog koda NPS, iskorištavaju module Imppacket za bočno kretanje i postavljaju ransomware baziran na Babuk-u.
Učitavač dijeli sličnosti putanje datoteke i interne IP adrese sa alatima BRONZE STARLIGHT, dok kod aktera sadrži greške u pisanju.
Vremenska zona aktivnosti napadača je u skladu sa vremenskim zonama GMT+7 do GMT+9, što sugeriše moguću vezu između RA World i BRONZE STARLIGHT, ali su moguća i druga objašnjenja.
Izvor:CybersecurityNews