趋势科技发现了来自RA World(RA Group)勒索软件组织的新一轮活动。该组织自2023年4月开始进行恶意活动,并在此期间成功攻击了美国、德国、印度和台湾等国家的多个组织,主要集中在医疗保健和金融领域。
研究人员透露,最新一波 RA World 攻击针对的是拉丁美洲的多家医疗机构。这些攻击分几个阶段进行。
- 初始访问:首先是黑客通过域控制器渗透计算机系统。编辑组策略 (GPO) 允许攻击者在受害者的系统上设置自己的规则。
- 第 1 阶段(Stage1.exe):一旦成功渗透系统,病毒会利用“Stage1.exe”文件进行网络评估,包括检查域控制器并准备复制病毒的下一步行动。
- 第 2 阶段(Stage2.exe):在此阶段,病毒开始自我复制到网络上其他计算机,并启动准备加密文件的过程。“Stage2.exe”负责在目标网络内传播恶意代码,为发起主要攻击打下基础。
- 第 3 阶段(Stage3.exe):这是病毒激活的最终阶段,涉及对受感染计算机上的文件进行加密,并要求支付赎金以恢复文件。该阶段采用复杂的加密技术,使用户和系统无法访问这些文件。
RA World多阶段攻击方案
此外,该恶意软件能够在特殊安全模式下重新启动系统,以规避防病毒软件的检测。它还会在攻击执行后清除其痕迹,使研究人员更难分析。
为了最大限度地降低成为RA World攻击受害者的风险,建议采用最佳安全实践:限制管理权限、及时更新所使用的软件、定期进行数据备份、在与电子邮件和网站交互时保持小心谨慎,并对公司员工进行网络安全基础知识培训。
转自安全客,原文链接:https://www.anquanke.com/post/id/293631
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容