Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Cyberattacke-Bulletin: Wie Bedrohungsakteure EV-Zertifikate missbrauchen

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. cybercriminels
    >
  2. Ransomware Gruppe

RA-Gruppe

Die RA Group, auch bekannt als RA World, tauchte erstmals im April 2023 auf, wobei sie eine angepasste Variante des Babuk ransomware verwendete.

Von der RA-Gruppe verwendete TTPs aufdecken
Ist Ihr Unternehmen vor den Angriffen der RA-Gruppe sicher?
Hintergrund und Ziele
TTPs
MITRE Kartierung
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing
HINTERGRUND
LÄNDER
INDUSTRIEN
VICTIMS

Der Ursprung der RA-Gruppe

Die RA-Gruppe tauchte in den frühen 2020er Jahren auf und erlangte Berühmtheit, weil sie es auf große Unternehmen und Regierungseinrichtungen abgesehen hatte.  

Der Modus Operandi der Gruppe besteht darin, Schwachstellen in der Netzwerksicherheit auszunutzen, um ransomware einzusetzen, das die Daten des Opfers verschlüsselt und ein Lösegeld, normalerweise in Kryptowährung, für die Entschlüsselungsschlüssel fordert.  

Die Operationen der RA-Gruppe zeichnen sich durch eine doppelte Erpressungstaktik aus: Sie verschlüsseln nicht nur die Dateien des Opfers, sondern drohen auch damit, die gestohlenen sensiblen Daten öffentlich zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden. Diese Taktik erhöht den Druck auf die Opfer erheblich, ihren Forderungen nachzukommen.  

Im Laufe der Zeit hat die RA Group, jetzt RA World, ihre Techniken verfeinert und ist zu einer der gefürchtetsten ransomware Gruppen in der Cybersicherheitsgemeinschaft geworden.

Quelle: OCD

Zielländer der RA-Gruppe

Viele der Ziele der RA Group befanden sich in den USA, eine kleinere Anzahl von Angriffen fand in Ländern wie Deutschland, Indien und Taiwan statt.

Quelle: Trend Micro

Von der RA-Gruppe angesprochene Branchen

Die Gruppe zielt hauptsächlich auf Unternehmen im Gesundheits- und Finanzsektor ab.

Quelle: Trend Micro

Financial Services and Banking

Healthcare

Die Opfer der RA-Gruppe

Bis heute sind mehr als 86 Opfer den bösartigen Machenschaften der RA-Gruppe zum Opfer gefallen.

Quelle: ransomware.live

Angriffsmethode

Die Angriffsmethode der RA-Gruppe

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Die RA Group verschafft sich Zugang zum Netzwerk des Opfers, indem sie Schwachstellen in ungepatchter Software, ungeschützte Remote-Desktop-Protokolle (RDPs) oder phishing -E-Mails ausnutzt.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Die RA-Gruppe erweitert ihre Privilegien innerhalb des Netzwerks, um höhere Zugriffsebenen zu erhalten.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

RA World erhält und nutzt Anmeldeinformationen für den Zugang zu verschiedenen Teilen des Netzwerks.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Im Zuge der Umstellung des Netzwerks identifiziert RA World kritische Systeme, die für den Betrieb des Unternehmens unerlässlich sind.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

Sobald der Zugriff erfolgt ist, verwendet RA World kompromittierte Anmeldeinformationen und interne Netzwerktools, um seitlich durch das Netz zu navigieren.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die benutzerdefinierte Babuk ransomware wird im Netzwerk eingesetzt und zielt auf wichtige Dateien ab.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Sensible Informationen wie Finanzdaten, personenbezogene Daten und geistiges Eigentum werden aus dem Netzwerk exfiltriert.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die ransomware verschlüsselt wichtige Dateien, so dass sie für legitime Benutzer unzugänglich sind.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Die RA Group verschafft sich Zugang zum Netzwerk des Opfers, indem sie Schwachstellen in ungepatchter Software, ungeschützte Remote-Desktop-Protokolle (RDPs) oder phishing -E-Mails ausnutzt.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Die RA-Gruppe erweitert ihre Privilegien innerhalb des Netzwerks, um höhere Zugriffsebenen zu erhalten.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung
Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

RA World erhält und nutzt Anmeldeinformationen für den Zugang zu verschiedenen Teilen des Netzwerks.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Im Zuge der Umstellung des Netzwerks identifiziert RA World kritische Systeme, die für den Betrieb des Unternehmens unerlässlich sind.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

Sobald der Zugriff erfolgt ist, verwendet RA World kompromittierte Anmeldeinformationen und interne Netzwerktools, um seitlich durch das Netz zu navigieren.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die benutzerdefinierte Babuk ransomware wird im Netzwerk eingesetzt und zielt auf wichtige Dateien ab.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Sensible Informationen wie Finanzdaten, personenbezogene Daten und geistiges Eigentum werden aus dem Netzwerk exfiltriert.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die ransomware verschlüsselt wichtige Dateien, so dass sie für legitime Benutzer unzugänglich sind.

MITRE ATT&CK Kartierung

Von der RA-Gruppe verwendete TTPs

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Plattform-Detektionen

Erkennung der RA-Gruppe mit Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Was ist die RA-Gruppe/RA World?

Die RA Group, auch bekannt als RA World, ist eine cyberkriminelle Organisation, die für ihre ausgeklügelten ransomware Angriffe bekannt ist. Ihr Ziel sind in der Regel große Unternehmen und staatliche Einrichtungen.

Wie verschafft sich die RA-Gruppe Zugang zu Netzwerken?

Die RA Group nutzt Schwachstellen wie ungepatchte Software, ungeschützte Remote-Desktop-Protokolle (RDPs) und phishing -Betrügereien aus, um sich einen ersten Zugang zu den Netzwerken ihrer Zielpersonen zu verschaffen.

Welche Art von ransomware verwendet die RA-Gruppe?

Die RA Group ist dafür bekannt, eigens entwickelte ransomware zu verwenden, darunter Varianten wie Babuk, die Dateien auf infizierten Systemen verschlüsseln und Lösegeld für Entschlüsselungsschlüssel verlangen.

Wie hoch ist die typische Lösegeldforderung der RA Group?

Die Höhe des Lösegelds kann je nach Ziel und dem wahrgenommenen Wert der verschlüsselten Daten stark variieren und reicht oft von zehn- bis hunderttausenden von Dollar, zahlbar in Kryptowährung.

Wie eskaliert die RA Group ihren Angriff, sobald sie in ein Netzwerk eingedrungen ist?

Nach dem ersten Zugriff verwendet die RA Group in der Regel kompromittierte Anmeldedaten und interne Tools, um ihre Privilegien zu erweitern und sich seitlich im Netzwerk zu bewegen, um kritische Systeme zu identifizieren und zu kompromittieren.

Was sind die doppelten Erpressungstaktiken der RA-Gruppe?

Die RA Group verschlüsselt nicht nur die Daten der Opfer, sondern stiehlt auch sensible Informationen. Sie drohen damit, diese gestohlenen Daten öffentlich zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden.

Wie können sich Unternehmen vor Angriffen der RA Group schützen?

Unternehmen sollten ihre Systeme regelmäßig aktualisieren und patchen, phishing Schulungen zur Sensibilisierung durchführen, den RDP-Zugang sichern und eine mehrstufige Authentifizierung verwenden. Die Implementierung einer KI-gesteuerten Plattform zur Erkennung von Bedrohungen wie Vectra AI kann ebenfalls dazu beitragen, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren.

Was sollte ein Unternehmen tun, wenn es Opfer eines Angriffs der RA-Gruppe wird?

Betroffene Unternehmen sollten die infizierten Systeme isolieren, ihre Reaktions- und Wiederherstellungspläne für den Vorfall in die Wege leiten und den Vorfall den Strafverfolgungsbehörden melden. Es ist auch ratsam, Cybersecurity-Experten für eine forensische Analyse und eine mögliche Datenwiederherstellung hinzuzuziehen.

Können von der RA Group verschlüsselte Daten wiederhergestellt werden, ohne das Lösegeld zu bezahlen?

Die Wiederherstellung von Daten ohne Zahlung des Lösegelds hängt von der verwendeten ransomware Variante und der Verfügbarkeit von Entschlüsselungsprogrammen ab. Backups sind oft der zuverlässigste Weg, um verschlüsselte Daten wiederherzustellen.

Welche Trends sehen wir bei den Aktivitäten der RA-Gruppe?

Die RA Group hat es zunehmend auf Unternehmen mit hochwertigen Daten und kritischen Infrastrukturen abgesehen, wobei sie ihre Angriffe oft so zeitlich abstimmt, dass sie möglichst große Störungen verursachen. Ihre Methoden werden ständig weiterentwickelt und umfassen immer ausgefeiltere Techniken, um der Entdeckung zu entgehen und ihre Erfolgsquote zu erhöhen.

Ist Ihr Unternehmen vor den Angriffen der RA-Gruppe sicher?

Bewerten Sie Ihr Angriffsrisiko