RA World проникает в больницы Латинской Америки: зашифрованные файлы как индикатор слабой защиты

Компания Trend Micro недавно обнаружила новую волну активности вымогательской группировки RA World, также известной как RA Group. Группа начала свою вредоносную деятельность ещё в апреле 2023 года и за время своего существования успела атаковать множество организаций, преимущественно в секторах здравоохранения и финансов, расположенных в США, Германии, Индии и на Тайване.

Исследователи выявили, что последняя волна атак RA World была нацелена на несколько организаций здравоохранения в Латинской Америке. Атаки выполнялись в несколько этапов, чтобы повысить общие шансы на успешное выполнение операции.

• Начальный доступ. Атака начинается с того, что хакеры проникает в компьютерную систему через контроллеры доменов. Здесь играет ключевую роль редактирование групповой политики (GPO), которое позволяет злоумышленникам устанавливать свои правила в системе жертвы.
• Этап 1 (Stage1.exe). После проникновения в систему, вирус использует файл «Stage1.exe» для оценки и подготовки сети к дальнейшей атаке, что включает в себя проверку контроллеров домена и подготовку к копированию следующего этапа вируса.
• Этап 2 (Stage2.exe). На этом этапе вирус копирует себя на другие машины в сети и начинает подготовку к шифрованию файлов. «Stage2.exe» ответственен за распространение вредоносного кода внутри целевой сети, готовя почву для запуска основной атаки.
• Этап 3 (Stage3.exe). Это конечный этап, на котором вирус активируется, шифруя файлы на заражённых компьютерах и требуя выкуп за их восстановление. Он использует сложные методы шифрования, делая файлы недоступными для пользователей и систем.

Схема многоэтапной атаки RA World

Кроме того, вредонос умеет перезагружать систему в специальном безопасном режиме, что позволяет ему избежать обнаружения антивирусами. Он также стирает следы своего присутствия после выполнения атаки, усложняя анализ исследователям.

Для минимизации рисков стать одной из жертв атак RA World рекомендуется применять лучшие защитные практики: ограничение административных прав, своевременное обновление используемого софта, регулярное резервное копирование данных, осторожность при взаимодействии с электронной почтой и веб-сайтами, а также обучение сотрудников компании основам кибербезопасности.

Применение комплексного подхода к безопасности позволяет значительно укрепить потенциальные точки доступа в систему, качественно улучшая защиту предприятия.