Gruppo RA
Il gruppo RA, noto anche come RA World, è apparso per la prima volta nell'aprile 2023, utilizzando una variante personalizzata del ransomware Babuk.
L'origine del Gruppo RA
Il gruppo RA è emerso all'inizio degli anni 2020, acquisendo notorietà per aver preso di mira grandi aziende ed enti governativi.
Il modus operandi del gruppo consiste nello sfruttare le vulnerabilità della sicurezza di rete per distribuire ransomware, che crittografa i dati della vittima e richiede un riscatto, solitamente in criptovaluta, per le chiavi di decrittografia.
Le operazioni del gruppo RA sono caratterizzate da una doppia tattica di estorsione: non solo crittografano i file delle vittime, ma minacciano anche di rendere pubblici i dati sensibili rubati se le loro richieste di riscatto non vengono soddisfatte. Questa tattica aumenta notevolmente la pressione sulle vittime affinché soddisfino le loro richieste.
Nel corso del tempo, RA Group, ora RA World, ha affinato le proprie tecniche, diventando uno dei gruppi di ransomware più temuti nella comunità della sicurezza informatica.
Paesi target del Gruppo RA
Molti degli obiettivi del RA Group erano negli Stati Uniti, mentre un numero minore di attacchi ha interessato paesi come Germania, India e Taiwan.
Fonte: Trend Micro
Settori di riferimento del Gruppo RA
Il gruppo si rivolge principalmente alle aziende dei settori sanitario e finanziario.
Fonte: Trend Micro
Le vittime del Gruppo RA
Ad oggi, più di 86 vittime sono cadute preda delle operazioni dannose del gruppo RA.
Fonte: ransomware.live
Metodo di attacco del gruppo RA
Il gruppo RA ottiene l'accesso alla rete della vittima sfruttando le vulnerabilità presenti in software non aggiornati, protocolli RDP (Remote Desktop Protocol) esposti o tramite phishing .
Il gruppo RA aumenta i privilegi all'interno della rete per ottenere livelli di accesso più elevati.
RA World ottiene e sfrutta le credenziali per accedere a varie parti della rete.
Nel processo di trasferimento attraverso la rete, RA World identifica i sistemi critici essenziali per le operazioni dell'organizzazione.
Una volta ottenuto l'accesso, RA World utilizza credenziali compromesse e strumenti di rete interni per navigare lateralmente attraverso la rete.
Il ransomware personalizzato Babuk viene distribuito sulla rete, prendendo di mira i file essenziali.
Informazioni sensibili quali documenti finanziari, dati personali identificativi (PII) e proprietà intellettuale vengono sottratte dalla rete.
Il ransomware crittografa i file cruciali, rendendoli inaccessibili agli utenti legittimi.
Il gruppo RA ottiene l'accesso alla rete della vittima sfruttando le vulnerabilità presenti in software non aggiornati, protocolli RDP (Remote Desktop Protocol) esposti o tramite phishing .
Il gruppo RA aumenta i privilegi all'interno della rete per ottenere livelli di accesso più elevati.
RA World ottiene e sfrutta le credenziali per accedere a varie parti della rete.
Nel processo di trasferimento attraverso la rete, RA World identifica i sistemi critici essenziali per le operazioni dell'organizzazione.
Una volta ottenuto l'accesso, RA World utilizza credenziali compromesse e strumenti di rete interni per navigare lateralmente attraverso la rete.
Il ransomware personalizzato Babuk viene distribuito sulla rete, prendendo di mira i file essenziali.
Informazioni sensibili quali documenti finanziari, dati personali identificativi (PII) e proprietà intellettuale vengono sottratte dalla rete.
Il ransomware crittografa i file cruciali, rendendoli inaccessibili agli utenti legittimi.
TTP utilizzati dal Gruppo RA
Come rilevare il gruppo RA con Vectra AI
Domande frequenti
Cos'è RA Group/RA World?
RA Group, noto anche come RA World, è un'organizzazione criminale informatica nota per eseguire sofisticati attacchi ransomware. In genere prende di mira grandi aziende ed enti governativi.
In che modo RA Group ottiene l'accesso alle reti?
Il gruppo RA sfrutta vulnerabilità quali software non aggiornati, protocolli RDP (Remote Desktop Protocol) esposti e phishing per ottenere l'accesso iniziale alle reti dei propri obiettivi.
Che tipo di ransomware utilizza RA Group?
Il gruppo RA è noto per l'utilizzo di ransomware sviluppati su misura, tra cui varianti come Babuk, che crittografa i file sui sistemi infetti e richiede un riscatto per le chiavi di decrittografia.
Qual è il riscatto tipicamente richiesto dal RA Group?
L'importo del riscatto può variare notevolmente a seconda dell'obiettivo e del valore percepito dei dati crittografati, spesso compreso tra decine e centinaia di migliaia di dollari, pagabili in criptovaluta.
In che modo RA Group intensifica il proprio attacco una volta entrato in una rete?
Dopo aver ottenuto l'accesso iniziale, RA Group utilizza solitamente credenziali compromesse e strumenti interni per aumentare i privilegi e muoversi lateralmente all'interno della rete per identificare e compromettere i sistemi critici.
Quali sono le tattiche di doppia estorsione utilizzate dal RA Group?
Il gruppo RA non solo crittografa i dati delle vittime, ma ruba anche informazioni sensibili. Minaccia di rendere pubblici i dati rubati se le richieste di riscatto non vengono soddisfatte.
Come possono le organizzazioni proteggersi dagli attacchi del gruppo RA?
Le organizzazioni dovrebbero aggiornare e applicare regolarmente le patch ai sistemi, condurre corsi di formazione phishing , proteggere l'accesso RDP e utilizzare l'autenticazione a più fattori. L'implementazione di una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale come Vectra AI anche aiutare a rilevare e rispondere tempestivamente alle attività sospette.
Cosa dovrebbe fare un'organizzazione se fosse vittima di un attacco del gruppo RA?
Le organizzazioni colpite dovrebbero isolare i sistemi infetti, avviare i propri piani di risposta agli incidenti e di ripristino di emergenza e segnalare l'incidente alle forze dell'ordine. È inoltre consigliabile rivolgersi a esperti di sicurezza informatica per un'analisi forense e un potenziale recupero dei dati.
È possibile recuperare i dati crittografati da RA Group senza pagare il riscatto?
Il recupero dei dati senza pagare il riscatto dipende dalla variante specifica di ransomware utilizzata e dalla disponibilità di strumenti di decrittografia. I backup sono spesso il modo più affidabile per ripristinare i dati crittografati.
Quali tendenze si stanno delineando nelle attività del Gruppo RA?
Il gruppo RA ha preso sempre più di mira organizzazioni con dati di alto valore e infrastrutture critiche, spesso programmando i propri attacchi in modo da causare il massimo disagio possibile. I loro metodi continuano ad evolversi, incorporando tecniche sempre più sofisticate per eludere il rilevamento e aumentare la percentuale di successo.