Novi RAA ransomware cilja na poslovne korisnike

RAA ransomware otkriven u junu ove godine sada je napredovao i napada veće poslovne korisnike, uglavnom koristeći spear phishing metode.

Ovaj ransomware, osim ciljane kompanije, može uticati i na njihove klijente i poslovne partnere. Prema istraživanju kompanije Kaspersky Lab, nova varijanta ovog zloćudnog softvera naziva se Trojan-Ransom.JS.RaaCrypt.ag i dolazi s nekoliko novih mogućnosti.

Šalje se u zip datoteci koja je zaštićena lozinkom i može izvoditi izvanmrežnu enkripciju bez da traži ključ od upravljačkog servera. Prethodna verzija ransomware-a bila je kodirana u Javascript-u, RAA #2 kodiran je u sličnom JScriptu. U poruci elektronske pošte koju poslovni korisnici dobivaju jasno je da je namenjen isključivo njima, s porukom koja bi mogla obmanuti korisnika da pomisli kako se radi o računu koji nije podmiren.

U poruci stoji da je potrebno uneti lozinku "111" kako bi otvorili dokument u attachy. Ciljane grupe korisnika za sada su uglavnom bile zemlje iz ruskog govornog područija. Nakon što je instaliran, RAA #2 radi slično kao i prethodna verzija, korisnik otvara RTF dokument koji se prikazuje kao Microsoft Word dokument kako bi skrenuo pažnju korisnicima dok se njihove datoteke kriptuju. Međutim, način kriptovanja je drugačiji nego kod prethodne verzije jer nova verzija generira sopstveni ključ za enkripciju na klijentskom računaru, umesto da čeka na ključ od C&C servera.

Koristeći ukradene podatke, cyber kriminalci mogu ostvariti pristup žrtvinom klijentu za čitanje elektronske pošte i ostalim resursima. Pretpostavlja se da vlasnici RAA ransomwarea koriste te resurse za slanje poruka elektronske pošte na adrese iz kontakt liste kojoj su ostvarili pristup.

Foto: Maksim Kabakou / Shutterstock

Kategorija: Bezbednost widget