На рынке киберугроз появилась новая программа-вымогатель RALord, действующая по модели Ransomware-as-a-Service

Модель RaaS позволяет технически менее подкованным злоумышленникам (аффилиатам) арендовать у создателей вредоносное ПО и инфраструктуру для проведения атак в обмен на процент от выкупа. Согласно отчету, RALord активно вербует аффилиатов на специализированных форумах, требуя от них навыков программирования на Python и Rust для настройки шифровальщика. Этот факт указывает на стремление группы создавать мощные и сложные для обнаружения инструменты.

Особенностью новой группы стал ее Data Leak Site (DLS, сайт для утечки данных), который исследователи характеризуют как более «дружелюбный» по сравнению с аналогами. На нем явно выделяются секторы экономики, к которым принадлежат жертвы. Подобная тактика, вероятно, призвана усилить давление на конкретные отрасли, демонстрируя другим компаниям в той же сфере последствия отказа от выплаты выкупа. Кроме того, сайт использует таймер обратного отсчета, создавая у жертв ощущение срочности и угрожая полной публикацией похищенных данных, если требования не будут удовлетворены.

С технической точки зрения, группа RALord, судя по всему, делает ставку на эксплуатацию уязвимостей в периметровых решениях безопасности. В качестве первоначальных векторов атаки называются продукты компаний Fortinet, SonicWall и Cisco. Злоумышленники предположительно используют методы brute-force (подбора учетных данных) и эксплойты для известных уязвимостей (CVEs), чтобы получить доступ к корпоративным сетям.

Аналитики также обнаружили возможную связь RALord с другой группой вымогателей RA World, которая недавно прекратила свою деятельность. Было выявлено частичное совпадение кода (около 25%) между образцом RA World и более старым вредоносным ПО FunkSec. Эта корреляция может указывать на реорганизацию киберпреступных группировок, переиспользование кода или миграцию участников под новым брендом.

Для борьбы с угрозой эксперты рекомендуют организациям, особенно в Латинской Америке, уделить первостепенное внимание базовым мерам кибергигиены. К ним относятся строгое применение патчей (обновлений безопасности) для всех сетевых устройств и программного обеспечения, внедрение многофакторной аутентификации (MFA) и регулярное обучение сотрудников. Кроме того, критически важно иметь актуальные и изолированные от сети резервные копии данных, что является самым эффективным способом восстановления после атаки программы-вымогателя без выплаты выкупа.

Появление RALord подтверждает устойчивую тенденцию: модель RaaS продолжает демократизировать киберпреступность, делая мощные инструменты для атак доступными для более широкого круга злоумышленников. Это требует от компаний во всех регионах постоянной бдительности и проактивного подхода к безопасности.

Onion Domains

• ralord3htj7v2dkavss2hjzviviwgsf4anfdnihn5qcjl6eb5if3cuqd.onion
• ralordqe33mpufkpsr6zkdatktlu3t2uei4ught3sitxgtzfmqmbsuyd.onion
• ralordt7gywtkkkkq2suldao6mpibsb7cpjvdfezpzwgltyj2laiuuid.onion

MD5

• be15f62d14d1cbe2aecce8396f4c6289

SHA1

• e9cced71d31937d75edac3fceee1d21e46cd5351

SHA256

• 456b9adaabae9f3dce2207aa71410987f0a571cd8c11f2e7b41468501a863606

• RALord-Novo-grupo-de-Ransomware-as-a-Service-1.pdf