Gruppo RA

Il gruppo RA, noto anche come RA World, è apparso per la prima volta nell'aprile 2023, utilizzando una variante personalizzata del ransomware Babuk.

Individuare le TTP utilizzate dal RA Group

La vostra organizzazione è al sicuro dagli attacchi del RA Group?

Le origini del Gruppo RA

Il RA Group è emerso all'inizio degli anni 2020, guadagnandosi una certa notorietà per i suoi attacchi contro grandi aziende ed enti governativi.

Il modus operandi del gruppo consiste nello sfruttare le vulnerabilità della sicurezza di rete per diffondere un ransomware, che crittografa i dati della vittima e richiede un riscatto, solitamente in criptovaluta, in cambio delle chiavi di decrittazione.

Le operazioni del RA Group sono caratterizzate da una tattica di doppia estorsione: non solo crittografano i file delle vittime, ma minacciano anche di rendere pubblici i dati sensibili rubati se le loro richieste di riscatto non vengono soddisfatte. Questa tattica aumenta notevolmente la pressione sulle vittime affinché acconsentano alle loro richieste.

Nel corso del tempo, RA Group, ora RA World, ha affinato le proprie tecniche, diventando uno dei gruppi di ransomware più temuti nella comunità della sicurezza informatica.

Paesi in cui opera RA Group

Molti degli obiettivi del RA Group si trovavano negli Stati Uniti, mentre un numero minore di attacchi ha avuto luogo in paesi come la Germania, l'India e Taiwan.

^Fonte:^{Trend Micro}

Settori di riferimento del Gruppo RA

Il gruppo si rivolge principalmente alle aziende dei settori sanitario e finanziario.

^Fonte:^{Trend Micro}

Financial Services and Banking

Healthcare

Le vittime del Gruppo RA

Ad oggi, più di 86 vittime sono cadute preda delle attività illecite del RA Group.

^Fonte:^{ransomware.live}

Metodo di attacco

Il metodo di attacco del Gruppo RA

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

RA Group riesce ad accedere alla rete della vittima sfruttando le vulnerabilità presenti in software non aggiornati, protocolli RDP (Remote Desktop Protocol) non protetti o tramite phishing .

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

RA Group eleva i propri privilegi all'interno della rete per ottenere livelli di accesso più elevati.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

RA World acquisisce e utilizza le credenziali per accedere a diverse parti della rete.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Durante il processo di migrazione sulla rete, RA World individua i sistemi critici indispensabili per il funzionamento dell'organizzazione.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Una volta ottenuto l'accesso, RA World utilizza le credenziali compromesse e gli strumenti di rete interni per muoversi lateralmente all'interno della rete.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware personalizzato Babuk viene diffuso nella rete, prendendo di mira i file essenziali.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Informazioni sensibili quali documenti finanziari, dati personali identificativi (PII) e proprietà intellettuale vengono sottratte dalla rete.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Il ransomware crittografa i file essenziali, rendendoli inaccessibili agli utenti legittimi.

Accesso iniziale

RA Group riesce ad accedere alla rete della vittima sfruttando le vulnerabilità presenti in software non aggiornati, protocolli RDP (Remote Desktop Protocol) non protetti o tramite phishing .

Escalation dei privilegi

RA Group eleva i propri privilegi all'interno della rete per ottenere livelli di accesso più elevati.

Evasione difensiva

Accesso alle credenziali

RA World acquisisce e utilizza le credenziali per accedere a diverse parti della rete.

Scoperta

Durante il processo di migrazione sulla rete, RA World individua i sistemi critici indispensabili per il funzionamento dell'organizzazione.

Movimento laterale

Una volta ottenuto l'accesso, RA World utilizza le credenziali compromesse e gli strumenti di rete interni per muoversi lateralmente all'interno della rete.

Collezione

Esecuzione

Il ransomware personalizzato Babuk viene diffuso nella rete, prendendo di mira i file essenziali.

Esfiltrazione

Informazioni sensibili quali documenti finanziari, dati personali identificativi (PII) e proprietà intellettuale vengono sottratte dalla rete.

Impatto

Il ransomware crittografa i file essenziali, rendendoli inaccessibili agli utenti legittimi.

MITRE ATT&CK

TTP utilizzati da RA Group

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

No items found.

TA0004: Privilege Escalation

T1484

Group Policy Modification

TA0005: Defense Evasion

T1112

Modify Registry

T1070

Indicator Removal

T1562

Impair Defenses

T1484

Group Policy Modification

TA0006: Credential Access

No items found.

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1529

System Shutdown/Reboot

T1485

Data Destruction

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come individuare il gruppo RA con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Cos'è RA Group/RA World?

Il RA Group, noto anche come RA World, è un'organizzazione criminale informatica nota per aver sferrato sofisticati attacchi ransomware. Di solito prende di mira grandi aziende ed enti governativi.

‍

In che modo RA Group accede alle reti?

RA Group sfrutta vulnerabilità quali software privi di patch, protocolli RDP (Remote Desktop Protocol) esposti e phishing per ottenere l'accesso iniziale alle reti dei propri obiettivi.

Che tipo di ransomware utilizza RA Group?

RA Group è noto per l'utilizzo di ransomware sviluppati su misura, tra cui varianti come Babuk, che crittografa i file sui sistemi infetti e richiede un riscatto in cambio delle chiavi di decrittografia.

Qual è il riscatto che il RA Group richiede solitamente?

L'importo del riscatto può variare notevolmente a seconda dell'obiettivo e del valore attribuito ai dati crittografati, oscillando spesso tra decine e centinaia di migliaia di dollari, pagabili in criptovaluta.

In che modo RA Group intensifica il proprio attacco una volta penetrato all'interno di una rete?

Una volta ottenuto l'accesso iniziale, il RA Group ricorre solitamente a credenziali compromesse e strumenti interni per elevare i propri privilegi e muoversi lateralmente all'interno della rete, al fine di individuare e compromettere i sistemi critici.

Quali sono le tattiche di doppia estorsione utilizzate dal RA Group?

Il gruppo RA non solo crittografa i dati delle vittime, ma ruba anche informazioni sensibili. Minaccia inoltre di rendere pubblici i dati rubati se le richieste di riscatto non vengono soddisfatte.

In che modo le organizzazioni possono proteggersi dagli attacchi del RA Group?

Le organizzazioni dovrebbero aggiornare e applicare regolarmente le patch ai sistemi, organizzare corsi di formazione phishing , proteggere gli accessi RDP e utilizzare l'autenticazione a più fattori. L'implementazione di una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale, come Vectra AI inoltre aiutare a individuare e reagire tempestivamente alle attività sospette.

Cosa dovrebbe fare un'organizzazione se fosse vittima di un attacco del RA Group?

Le organizzazioni coinvolte dovrebbero isolare i sistemi infetti, attivare i propri piani di risposta agli incidenti e di ripristino di emergenza e segnalare l'accaduto alle forze dell'ordine. È inoltre consigliabile rivolgersi a esperti di sicurezza informatica per effettuare analisi forensi ed eventualmente recuperare i dati.

È possibile recuperare i dati crittografati da RA Group senza pagare il riscatto?

Il recupero dei dati senza pagare il riscatto dipende dalla specifica variante di ransomware utilizzata e dalla disponibilità di strumenti di decrittografia. I backup sono spesso il modo più affidabile per ripristinare i dati crittografati.

Quali tendenze si osservano nelle attività di RA Group?

Il RA Group sta prendendo sempre più di mira organizzazioni che dispongono di dati di alto valore e infrastrutture critiche, spesso programmando i propri attacchi in modo da causare il massimo disagio possibile. I loro metodi continuano ad evolversi, integrando tecniche sempre più sofisticate per eludere i sistemi di rilevamento e aumentare la percentuale di successo.

Gruppo RA

Le origini del Gruppo RA

Paesi in cui opera RA Group

Settori di riferimento del Gruppo RA

Financial Services and Banking

Healthcare

Le vittime del Gruppo RA

Il metodo di attacco del Gruppo RA

TTP utilizzati da RA Group

Come individuare il gruppo RA con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

La vostra organizzazione è al sicuro dagli attacchi del RA Group?

Domande frequenti

Cos'è RA Group/RA World?

In che modo RA Group accede alle reti?

Che tipo di ransomware utilizza RA Group?

Qual è il riscatto che il RA Group richiede solitamente?

In che modo RA Group intensifica il proprio attacco una volta penetrato all'interno di una rete?

Quali sono le tattiche di doppia estorsione utilizzate dal RA Group?

In che modo le organizzazioni possono proteggersi dagli attacchi del RA Group?

Cosa dovrebbe fare un'organizzazione se fosse vittima di un attacco del RA Group?

È possibile recuperare i dati crittografati da RA Group senza pagare il riscatto?

Quali tendenze si osservano nelle attività di RA Group?