Grupo de Ransomware RA World Expande Ataques Globais com Táticas de Alto Impacto

O grupo de ransomware RA World, que surgiu em abril do último ano, está rapidamente ampliando seu alcance global com táticas de alto impacto e se tornando uma ameaça crescente.

Expansão Rápida e Táticas Sofisticadas

Identificado inicialmente como RA Group, o RA World ganhou notoriedade ao expandir seus ataques, que incluem a manipulação de políticas de grupo para implantar cargas maliciosas. Recentemente, esse grupo foi observado mirando organizações de saúde na América Latina através de um ciberataque multietapas, demonstrando um rápido avanço em sua sofisticação.

Atuação Inicial e Crescimento

O RA World iniciou suas operações em 22 de abril, com ataques direcionados a organizações nos EUA e Coreia do Sul, abrangendo setores como manufatura, gestão de patrimônios, seguros e farmacêutico. Desde então, expandiu sua atuação para a Alemanha, Índia e Taiwan, conforme aponta a Trend Micro.

Apesar do recente foco na América Latina, os EUA continuam sendo o principal alvo, concentrando a maior porcentagem de ataques.

Táticas de Dupla Extorsão

O grupo persiste na utilização de táticas de dupla extorsão, pressionando as vítimas a atenderem às demandas de resgate sob a ameaça de divulgação de detalhes sobre vítimas anteriores em suas notas de resgate.

Evolução a Partir do Ransomware Babuk

O RA Group se destacou inicialmente ao usar o código fonte do ransomware Babuk — vazado em 2021 — como base para seus ataques, adotando uma abordagem altamente personalizada. O grupo continua a empregar o Babuk como sua carga final, o que lhe confere agilidade e a capacidade de aprimorar outras habilidades de ataque.

Ataques Multietapas Observados

Nos ataques observados, o RA World inicialmente invade sistemas através de controladores de domínio comprometidos e manipula as configurações de Objeto de Política de Grupo (GPO) para permitir a execução de scripts PowerShell. Esta estratégia permite armazenar a carga maliciosa dentro da máquina comprometida e, posteriormente, executá-la em outras máquinas locais.

Após executar a carga do ransomware Babuk, os atacantes também deixam uma nota de resgate que inclui a lista de vítimas recentes que não conseguiram pagar a taxa de resgate como parte de suas táticas de extorsão.

• O Crescimento do Negócio de Ransomware: Desafios e Ações de Repressão
• Como Salvar o Duque Ravengard Sem Mizora em Baldur’s Gate 3
• Ramsonware com um aumento significativo em 2023
• Ataque de Ransomware Afeta CloudNordic: Clientes Perdem Todos os Dados
• Grupo Ransomed.vc Afirma Ter Hackeado “Todos os Sistemas da Sony”

Protegendo-se Contra Ransomware

Diante da agilidade sem precedentes de atores de ransomware como o RA World, as organizações devem adotar uma abordagem de segurança multicamadas para fortalecer os potenciais pontos de acesso ao seu sistema. A Trend Micro recomenda práticas específicas para minimizar as chances de cair em ataques de ransomware, incluindo a atribuição de direitos administrativos somente quando necessário, atualizações regulares de produtos de segurança e proteção de dados essenciais através de backups rotineiros.

Além disso, é crucial educar os funcionários sobre táticas comuns de engenharia social e incentivá-los a reportar emails e arquivos suspeitos às equipes de segurança.

Fonte: https://www.trendmicro.com/en_ae/research/24/c/multistage-ra-world-ransomware.html