RA-Gruppe
Die RA Group, auch bekannt als RA World, tauchte erstmals im April 2023 auf, wobei sie eine angepasste Variante des Babuk ransomware verwendete.
Der Ursprung der RA-Gruppe
Die RA-Gruppe tauchte in den frühen 2020er Jahren auf und erlangte Berühmtheit, weil sie es auf große Unternehmen und Regierungseinrichtungen abgesehen hatte.
Der Modus Operandi der Gruppe besteht darin, Schwachstellen in der Netzwerksicherheit auszunutzen, um ransomware einzusetzen, das die Daten des Opfers verschlüsselt und ein Lösegeld, normalerweise in Kryptowährung, für die Entschlüsselungsschlüssel fordert.
Die Operationen der RA-Gruppe zeichnen sich durch eine doppelte Erpressungstaktik aus: Sie verschlüsseln nicht nur die Dateien des Opfers, sondern drohen auch damit, die gestohlenen sensiblen Daten öffentlich zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden. Diese Taktik erhöht den Druck auf die Opfer erheblich, ihren Forderungen nachzukommen.
Im Laufe der Zeit hat die RA Group, jetzt RA World, ihre Techniken verfeinert und ist zu einer der gefürchtetsten ransomware Gruppen in der Cybersicherheitsgemeinschaft geworden.
Ziele
Die Ziele der RA-Gruppe
Zielländer der RA-Gruppe
Viele der Ziele der RA Group befanden sich in den USA, eine kleinere Anzahl von Angriffen fand in Ländern wie Deutschland, Indien und Taiwan statt.
Quelle: Trend Micro
Von der RA-Gruppe angesprochene Branchen
Die Gruppe zielt hauptsächlich auf Unternehmen im Gesundheits- und Finanzsektor ab.
Quelle: Trend Micro
Von der RA-Gruppe angesprochene Branchen
Die Gruppe zielt hauptsächlich auf Unternehmen im Gesundheits- und Finanzsektor ab.
Quelle: Trend Micro
Die Opfer der RA-Gruppe
Bis heute sind mehr als 86 Opfer den bösartigen Machenschaften der RA-Gruppe zum Opfer gefallen.
Quelle: ransomware.live
Angriffsmethode
Die Angriffsmethode der RA-Gruppe
Die RA Group verschafft sich Zugang zum Netzwerk des Opfers, indem sie Schwachstellen in ungepatchter Software, ungeschützte Remote-Desktop-Protokolle (RDPs) oder phishing -E-Mails ausnutzt.
Die RA-Gruppe erweitert ihre Privilegien innerhalb des Netzwerks, um höhere Zugriffsebenen zu erhalten.
RA World erhält und nutzt Anmeldeinformationen für den Zugang zu verschiedenen Teilen des Netzwerks.
Im Zuge der Umstellung des Netzwerks identifiziert RA World kritische Systeme, die für den Betrieb des Unternehmens unerlässlich sind.
Sobald der Zugriff erfolgt ist, verwendet RA World kompromittierte Anmeldeinformationen und interne Netzwerktools, um seitlich durch das Netz zu navigieren.
Die benutzerdefinierte Babuk ransomware wird im Netzwerk eingesetzt und zielt auf wichtige Dateien ab.
Sensible Informationen wie Finanzdaten, personenbezogene Daten und geistiges Eigentum werden aus dem Netzwerk exfiltriert.
Die ransomware verschlüsselt wichtige Dateien, so dass sie für legitime Benutzer unzugänglich sind.
Erster Zugang
Die RA Group verschafft sich Zugang zum Netzwerk des Opfers, indem sie Schwachstellen in ungepatchter Software, ungeschützte Remote-Desktop-Protokolle (RDPs) oder phishing -E-Mails ausnutzt.
Rechte-Eskalation
Die RA-Gruppe erweitert ihre Privilegien innerhalb des Netzwerks, um höhere Zugriffsebenen zu erhalten.
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
RA World erhält und nutzt Anmeldeinformationen für den Zugang zu verschiedenen Teilen des Netzwerks.
Entdeckung
Im Zuge der Umstellung des Netzwerks identifiziert RA World kritische Systeme, die für den Betrieb des Unternehmens unerlässlich sind.
Seitliche Bewegung
Sobald der Zugriff erfolgt ist, verwendet RA World kompromittierte Anmeldeinformationen und interne Netzwerktools, um seitlich durch das Netz zu navigieren.
Sammlung
Ausführung
Die benutzerdefinierte Babuk ransomware wird im Netzwerk eingesetzt und zielt auf wichtige Dateien ab.
Exfiltration
Sensible Informationen wie Finanzdaten, personenbezogene Daten und geistiges Eigentum werden aus dem Netzwerk exfiltriert.
Auswirkungen
Die ransomware verschlüsselt wichtige Dateien, so dass sie für legitime Benutzer unzugänglich sind.
MITRE ATT&CK Kartierung
Von der RA-Gruppe verwendete TTPs
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Plattform-Detektionen
Erkennung der RA-Gruppe mit Vectra AI
Häufig gestellte Fragen
Was ist die RA-Gruppe/RA World?
Die RA Group, auch bekannt als RA World, ist eine cyberkriminelle Organisation, die für ihre ausgeklügelten ransomware Angriffe bekannt ist. Ihr Ziel sind in der Regel große Unternehmen und staatliche Einrichtungen.
Wie verschafft sich die RA-Gruppe Zugang zu Netzwerken?
Die RA Group nutzt Schwachstellen wie ungepatchte Software, ungeschützte Remote-Desktop-Protokolle (RDPs) und phishing -Betrügereien aus, um sich einen ersten Zugang zu den Netzwerken ihrer Zielpersonen zu verschaffen.
Welche Art von ransomware verwendet die RA-Gruppe?
Die RA Group ist dafür bekannt, eigens entwickelte ransomware zu verwenden, darunter Varianten wie Babuk, die Dateien auf infizierten Systemen verschlüsseln und Lösegeld für Entschlüsselungsschlüssel verlangen.
Wie hoch ist die typische Lösegeldforderung der RA Group?
Die Höhe des Lösegelds kann je nach Ziel und dem wahrgenommenen Wert der verschlüsselten Daten stark variieren und reicht oft von zehn- bis hunderttausenden von Dollar, zahlbar in Kryptowährung.
Wie eskaliert die RA Group ihren Angriff, sobald sie in ein Netzwerk eingedrungen ist?
Nach dem ersten Zugriff verwendet die RA Group in der Regel kompromittierte Anmeldedaten und interne Tools, um ihre Privilegien zu erweitern und sich seitlich im Netzwerk zu bewegen, um kritische Systeme zu identifizieren und zu kompromittieren.
Was sind die doppelten Erpressungstaktiken der RA-Gruppe?
Die RA Group verschlüsselt nicht nur die Daten der Opfer, sondern stiehlt auch sensible Informationen. Sie drohen damit, diese gestohlenen Daten öffentlich zu veröffentlichen, wenn ihre Lösegeldforderungen nicht erfüllt werden.
Wie können sich Unternehmen vor Angriffen der RA Group schützen?
Unternehmen sollten ihre Systeme regelmäßig aktualisieren und patchen, phishing Schulungen zur Sensibilisierung durchführen, den RDP-Zugang sichern und eine mehrstufige Authentifizierung verwenden. Die Implementierung einer KI-gesteuerten Plattform zur Erkennung von Bedrohungen wie Vectra AI kann ebenfalls dazu beitragen, verdächtige Aktivitäten frühzeitig zu erkennen und darauf zu reagieren.
Was sollte ein Unternehmen tun, wenn es Opfer eines Angriffs der RA-Gruppe wird?
Betroffene Unternehmen sollten die infizierten Systeme isolieren, ihre Reaktions- und Wiederherstellungspläne für den Vorfall in die Wege leiten und den Vorfall den Strafverfolgungsbehörden melden. Es ist auch ratsam, Cybersecurity-Experten für eine forensische Analyse und eine mögliche Datenwiederherstellung hinzuzuziehen.
Können von der RA Group verschlüsselte Daten wiederhergestellt werden, ohne das Lösegeld zu bezahlen?
Die Wiederherstellung von Daten ohne Zahlung des Lösegelds hängt von der verwendeten ransomware Variante und der Verfügbarkeit von Entschlüsselungsprogrammen ab. Backups sind oft der zuverlässigste Weg, um verschlüsselte Daten wiederherzustellen.
Welche Trends sehen wir bei den Aktivitäten der RA-Gruppe?
Die RA Group hat es zunehmend auf Unternehmen mit hochwertigen Daten und kritischen Infrastrukturen abgesehen, wobei sie ihre Angriffe oft so zeitlich abstimmt, dass sie möglichst große Störungen verursachen. Ihre Methoden werden ständig weiterentwickelt und umfassen immer ausgefeiltere Techniken, um der Entdeckung zu entgehen und ihre Erfolgsquote zu erhöhen.