Ransomware RAA se objevil v červnu 2016 a je prvním ransomwarem, který je kompletně napsaný v JScriptu. V srpnu našli experti Kaspersky Lab novou verzi, která je stejně jako ta předchozí distribuována pomocí e-mailu. Tentokrát je ale škodlivý kód ukryt v heslem chráněné příloze, kterou je zazipovaný soubor. Kybernetičtí zločinci zavedli toto opatření především proto, aby oklamali AV řešení, pro které je těžší prozkoumat obsah zaheslovaného archivu.

Experti Kaspersky Lab analyzovali e-maily a došli k závěru, že podvodníci raději cílí na společnosti než na běžné uživatele, a to pomocí nebezpečných e-mailů, které informují o nezaplacených platbách dodavatelům. Podvodníci dodávají komunikaci důvěryhodnost zmínkou, že z bezpečnostních důvodů je přiložený soubor zaheslovaný (heslo je poskytnuto na konci e-mailu) a navíc je chráněný asymetrickým šifrováním. Toto prohlášení může znít uživatelům, kteří se zajímají o svoji bezpečnost, směšně, důvěřivé oběti se ale nechají přesvědčit.

Další postup útoku je podobný tomu u předchozí verze RAA ransomwaru. Oběť otevře soubor .js, který spustí celý škodlivý proces. Trojan ukazuje podvodný textový dokument, který obsahuje náhodnou kombinaci písmen. Tím se mu podaří zmást svou oběť. Zatímco se napadený uživatel snaží přijít na to, o co se jedná, RAA na pozadí kóduje soubory uložené v počítači. Nakonec ransomware na ploše vytvoří poznámku o výkupném a všem zašifrovaným souborům dá novou příponu .locked.

V případě šifrovaní dat v počítači oběti nyní RAA vůbec nepotřebuje komunikovat s C&C serverem. To je hlavní rozdíl od předchozí verze. Místo, aby trojan požadoval „master key“ od serveru, generuje, šifruje a ukládá jej přímo v napadeném počítači. Kybernetičtí zločinci mají k dispozici soukromý klíč, který dokáže rozšifrovat unikátní „master key“. Jakmile oběť zaplatí výkupné, podvodníci ji požádají o zaslání „master key“, který jí vrátí rozšifrovaný společně s částí dešifrovacího softwaru. Tento postup byl zaveden z důvodu, aby malware mohl počítač zašifrovat nehledě na to, zda je připojený k internetu.

Horší je, že oběti společně s ransomwarem RAA obdrží i trojan Pony. Ten je schopný ukrást hesla všech e-mailových klientů včetně těch korporátních a poslat je útočníkovi. Podvodníci pak mohou díky těmto heslům šířit malware jménem napadeného uživatele. Oběti je pak snadnější přesvědčit, že je e-mail legální. Z korporátního e-mailu oběti může být malware rozšířen celé řadě firemních kontaktů. Podvodníci z nich mohou vybrat určité kontakty, které je zajímají, a provést na ně cílený útok.

Podniky mohou snížit riziko napadení, pokud budou dodržovat následující doporučení:

• Používejte rozsáhlé zabezpečení koncových bodů a AV řešení. Ujistěte se, že všechny funkce jsou povolené. 
• Vzdělávejte své zaměstnance v oblasti kybernetické bezpečnosti.
• Průběžně aktualizujte software na firemních počítačích.
• Pravidelně provádějte bezpečnostní audit.
• Věnujte pozornost příponám souborům před tím, než je otevřete, včetně těch potenciálně nebezpečných, jako například .exe, .hta, .wsf, .js.
• Buďte obezřetní u všech e-mailů od neznámých odesílatelů.

Z průzkumu „2016 Corporate IT security Risks Survey“ vyplývá, že 15,5 % českých podniků mělo v posledních dvanácti měsících zkušenost s útokem ransomwaru. Společnost Kaspersky Lab představila Anti-Ransomware Tool for Business, který je dostupný zdarma. Společnost tak pomáhá snížit riziko útoku ransomwaru.

V současné době se ransomware RAA šíří převážně mezi rusky mluvícími uživateli. Nemusí to ale dlouho trvat a jeho autoři se mohou rozhodnout rozšířit hrozbu globálně.