RA World 通过三个持续攻击阶段渗透拉丁美洲医院

阅读量30799

发布时间 : 2024-03-06 10:16:01

三个持续的攻击阶段已成为阴险勒索软件的标志。

趋势科技 最近发现了 来自 RA World 勒索软件组织(也称为 RA Group)的新一波活动。该组织早在 2023 年 4 月就开始进行恶意活动,并在其存在期间成功攻击了位于美国、德国、印度和台湾的许多组织,主要是医疗保健和金融领域的组织。

研究人员透露,最新一波 RA World 攻击针对的是拉丁美洲的多家医疗机构。这些攻击分几个阶段进行,以增加成功行动的总体机会。

  • 初始访问。攻击首先是黑客通过域控制器渗透计算机系统。编辑组策略 (GPO) 在这里发挥着关键作用,它允许攻击者在受害者的系统上设置自己的规则。
  • 第 1 阶段(Stage1.exe)。一旦渗透到系统中,病毒就会使用“Stage1.exe”文件来评估网络并为进一步攻击做好准备,其中包括检查域控制器并准备复制病毒的下一阶段。
  • 第 2 阶段(Stage2.exe)。在此阶段,病毒将自身复制到网络上的其他计算机并开始准备加密文件。“Stage2.exe”负责在目标网络内传播恶意代码,为发起主要攻击奠定基础。
  • 第 3 阶段(Stage3.exe)。这是病毒激活的最后阶段,对受感染计算机上的文件进行加密并要求赎金来恢复它们。它使用复杂的加密技术,使用户和系统无法访问文件。


RA World多阶段攻击方案

此外,该恶意软件可以以特殊的安全模式重新启动系统,从而避免被防病毒软件检测到。它还会在执行攻击后消除其存在的痕迹,使研究人员更难分析。

为了最大限度地降低成为 RA World 攻击受害者之一的风险,建议采用最佳安全实践:限制管理权限、及时更新所使用的软件、定期数据备份、与电子邮件和网站交互时小心谨慎,以及对公司员工进行网络安全基础知识培训。

使用集成的安全方法可以显着增强系统的潜在访问点,从而从质量上提高对企业的保护。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+15赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66