Gruppo RA
RA Group, noto anche come RA World, è emerso per la prima volta nell'aprile 2023, utilizzando una variante personalizzata del ransomware Babuk.
L'origine del gruppo RA
Il Gruppo RA è emerso all'inizio degli anni 2020, guadagnando notorietà per aver preso di mira grandi aziende ed enti governativi.
Il modus operandi del gruppo consiste nello sfruttare le vulnerabilità nella sicurezza della rete per distribuire il ransomware, che cripta i dati della vittima e chiede un riscatto, tipicamente in criptovaluta, per le chiavi di decriptazione.
Le operazioni del Gruppo RA sono caratterizzate da una duplice tattica di estorsione: non solo criptano i file delle vittime, ma minacciano anche di rendere pubblici i dati sensibili rubati se la richiesta di riscatto non viene soddisfatta. Questa tattica aumenta in modo significativo la pressione sulle vittime affinché soddisfino le loro richieste.
Nel corso del tempo, RA Group, ora RA World, ha affinato le sue tecniche, diventando uno dei gruppi di ransomware più temuti dalla comunità della sicurezza informatica.
Obiettivi
Obiettivi del Gruppo RA
Paesi destinatari del Gruppo RA
Molti degli obiettivi di RA Group erano negli Stati Uniti, mentre un numero minore di attacchi si è verificato in Paesi come Germania, India e Taiwan.
Fonte: Trend Micro
Settori interessati dal Gruppo RA
Il gruppo si rivolge principalmente ad aziende del settore sanitario e finanziario.
Fonte: Trend Micro
Settori interessati dal Gruppo RA
Il gruppo si rivolge principalmente ad aziende del settore sanitario e finanziario.
Fonte: Trend Micro
Vittime del Gruppo RA
Ad oggi, più di 86 vittime sono rimaste vittime delle operazioni malevole del Gruppo RA.
Fonte: ransomware.live
Metodo di attacco
Metodo di attacco del gruppo RA
RA Group riesce a entrare nella rete della vittima sfruttando le vulnerabilità di software non patchati, protocolli desktop remoti (RDP) esposti o tramite le email di phishing .
Il Gruppo RA esalta i privilegi all'interno della rete per ottenere livelli di accesso più elevati.
RA World ottiene e sfrutta le credenziali per accedere a varie parti della rete.
Nel processo di spostamento attraverso la rete, RA World identifica i sistemi critici che sono essenziali per le operazioni dell'organizzazione.
Una volta ottenuto l'accesso, RA World utilizza credenziali compromesse e strumenti di rete interni per navigare lateralmente attraverso la rete.
Il ransomware personalizzato Babuk viene distribuito in rete e prende di mira i file essenziali.
Le informazioni sensibili, come i dati finanziari, le informazioni di identificazione personale (PII) e la proprietà intellettuale, vengono esfiltrate dalla rete.
Il ransomware cripta i file cruciali, rendendoli inaccessibili agli utenti legittimi.
Accesso iniziale
RA Group riesce a entrare nella rete della vittima sfruttando le vulnerabilità di software non patchati, protocolli desktop remoti (RDP) esposti o tramite le email di phishing .
Escalation dei privilegi
Il Gruppo RA esalta i privilegi all'interno della rete per ottenere livelli di accesso più elevati.
Difesa Evasione
Accesso alle credenziali
RA World ottiene e sfrutta le credenziali per accedere a varie parti della rete.
Scoperta
Nel processo di spostamento attraverso la rete, RA World identifica i sistemi critici che sono essenziali per le operazioni dell'organizzazione.
Movimento laterale
Una volta ottenuto l'accesso, RA World utilizza credenziali compromesse e strumenti di rete interni per navigare lateralmente attraverso la rete.
Collezione
Esecuzione
Il ransomware personalizzato Babuk viene distribuito in rete e prende di mira i file essenziali.
Esfiltrazione
Le informazioni sensibili, come i dati finanziari, le informazioni di identificazione personale (PII) e la proprietà intellettuale, vengono esfiltrate dalla rete.
Impatto
Il ransomware cripta i file cruciali, rendendoli inaccessibili agli utenti legittimi.
MITRE ATT&CK Mappatura
TTP utilizzati dal Gruppo RA
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare il gruppo RA con Vectra AI
DOMANDE FREQUENTI
Che cos'è il Gruppo RA/RA World?
RA Group, noto anche come RA World, è un'organizzazione criminale informatica nota per l'esecuzione di sofisticati attacchi ransomware. In genere prende di mira grandi aziende ed enti governativi.
Come fa il Gruppo RA ad accedere alle reti?
Il Gruppo RA sfrutta vulnerabilità come software non patchati, protocolli desktop remoti (RDP) esposti e truffe phishing per ottenere l'accesso iniziale alle reti dei propri obiettivi.
Che tipo di ransomware utilizza RA Group?
RA Group è noto per l'utilizzo di ransomware sviluppati su misura, tra cui varianti come Babuk, che crittografano i file sui sistemi infetti e chiedono un riscatto per le chiavi di decrittazione.
Qual è il riscatto tipico richiesto da RA Group?
L'importo del riscatto può variare notevolmente a seconda dell'obiettivo e del valore percepito dei dati crittografati, spesso da decine a centinaia di migliaia di dollari, pagabili in criptovaluta.
Come fa il Gruppo RA a intensificare l'attacco una volta entrato in una rete?
Dopo aver ottenuto l'accesso iniziale, il gruppo RA utilizza tipicamente credenziali compromesse e strumenti interni per aumentare i privilegi e spostarsi lateralmente attraverso la rete per identificare e compromettere i sistemi critici.
Quali sono le tattiche di doppia estorsione utilizzate dal Gruppo RA?
RA Group non solo cripta i dati della vittima, ma ruba anche le informazioni sensibili. Minacciano di rendere pubblici i dati rubati se non viene soddisfatta la richiesta di riscatto.
Come possono le organizzazioni proteggersi dagli attacchi del Gruppo RA?
Le organizzazioni devono aggiornare e applicare regolarmente le patch ai sistemi, condurre una formazione di sensibilizzazione su phishing , proteggere l'accesso RDP e utilizzare l'autenticazione a più fattori. L'implementazione di una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale, come Vectra AI , può anche aiutare a rilevare e rispondere tempestivamente alle attività sospette.
Cosa deve fare un'organizzazione se è vittima di un attacco del Gruppo RA?
Le organizzazioni interessate devono isolare i sistemi infetti, avviare i propri piani di risposta agli incidenti e di disaster recovery e segnalare l'incidente alle forze dell'ordine. È inoltre consigliabile rivolgersi a esperti di sicurezza informatica per l'analisi forense e il potenziale recupero dei dati.
I dati criptati da RA Group possono essere recuperati senza pagare il riscatto?
Il recupero dei dati senza pagare il riscatto dipende dalla specifica variante di ransomware utilizzata e dalla disponibilità di strumenti di decriptazione. I backup sono spesso il modo più affidabile per ripristinare i dati crittografati.
Quali sono le tendenze in atto nelle attività del Gruppo RA?
Il Gruppo RA ha preso di mira sempre più spesso organizzazioni con dati di alto valore e infrastrutture critiche, spesso programmando i propri attacchi per ottenere la massima interruzione. I loro metodi continuano a evolversi, incorporando tecniche più sofisticate per eludere il rilevamento e aumentare il tasso di successo.