Yeni ortaya çıkan bir fidye yazılımı grubu olan RA World, Mart 2024’ten bu yana giderek daha aktif hale gelerek, verileri çalmak ve fidye ödenmezse bunları sızdırmakla tehdit etmek için çoklu gasp taktiği kullanıyor.
Sızdırılan site, hedeflerin sağlık kuruluşlarından imalat sektörüne kaydığını gösteriyor; bunun nedeni muhtemelen daha yüksek fidye ödemeleri talebi olabilir ancak bunun nedeni henüz bilinmiyor.
2023 yılının ortalarından bu yana faaliyet gösteren RA World fidye yazılımı grubu, öncelikli olarak üretim sektörünü hedef alıyor; sızdırılan site verilerine göre, ABD, Avrupa ve Asya’daki kuruluşları da etkiledi.
Grup, fidye notunda ve şifrelenmiş dosya uzantısında (.RAWLD) görüldüğü üzere yakın zamanda markasını RA Group’tan RA World’e çevirdi; fidye notunda ise kurbanların uymaması halinde çalınan verilerinin yayınlanacağı tehdidi yer alıyor.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
RA World fidye yazılımı grubu, kurbanları fidye ödemeye zorlamak için bir sızıntı sitesi sürdürüyor. Site 2024’te yeniden tasarlandı, karanlık bir temaya sahip ve popüler kültüre göndermeler içeriyordu.
Sızdırılan site, mağdurların listesini görüntülüyor ve ziyaretçilerin sosyal medya platformunda ilgili bilgileri aramasına olanak sağlıyor.
RA World, her bir mağdur için çalındığı iddia edilen verileri ifşa edebilir ve mağdurun itibarını zedelemek için manipülatif taktikler kullanabilir.
Yapılan analizde, RA World saldırganlarının ilk erişim için yanlış yapılandırılmış veya savunmasız internet sunucularını hedef aldığı belirlendi.
Cortex XDR, PsExec ve SysInternals araçlarını kullanarak kimlik bilgilerinin çalınmasına yönelik girişimleri engelledi.
Saldırganlar, yanal hareket için Impacket’ı kullanarak tehlikeye atılmış uç noktalarda uzaktan komutlar yürüttüler, makecab ile veritabanlarını arşivleyip orijinallerini silerek NTDS veritabanını, SAM kovanını ve sistem kayıt defterini çıkardılar.
Yakın zamanda gerçekleşen bir RA World fidye yazılımı saldırısı çok aşamalı bir enfeksiyon zinciri kullandı. İlk yükleyici (Stage1.exe) sistemin etki alanını tanımladı ve dışlama kurallarını aradı.
Daha sonra Stage2.exe’yi, davranışı Güvenli Mod durumuna bağlı olan paylaşımlı bir ağ yoluna dağıttı ve burada etki alanı adına dayalı bir anahtar kullanarak bir Babuk varyantını şifresini çözdü ve çalıştırdı.
Palo Alto Networks’e göre Babuk varyantı (Stage3.exe), yeni bir karşılıklı dışlama adı, fidye notu dosya adı ve şifrelenmiş dosya uzantısı gibi özel değişiklikler kullanıyordu.
Fidye yazılımı tehdit aktörü RA World, Çinli tehdit grubu BRONZE STARLIGHT ile bazı TTP’leri (Taktikler, Teknikler ve Prosedürler) paylaşıyor.
Her iki grup da açık kaynaklı NPS aracını kullanıyor, yanal hareket için Impacket modüllerini kullanıyor ve Babuk tabanlı fidye yazılımları dağıtıyor.
Yükleyici, BRONZE STARLIGHT’ın araçlarıyla dosya yolu benzerliklerini ve dahili IP adreslerini paylaşırken, aktörlerin kodunda yazım hataları bulunuyor.
Saldırganların faaliyet gösterdiği saat dilimi GMT+7 ile GMT+9 saat dilimleri arasında yer alıyor. Bu durum RA World ile BRONZE STARLIGHT arasında olası bir bağlantı olduğunu düşündürüyor ancak başka açıklamalar da mümkün.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo