Grupo RA
RA Group, también conocido como RA World, apareció por primera vez en abril de 2023, utilizando una variante personalizada del ransomware Babuk.
El origen de RA Group
RA Group surgió a principios de la década de 2020 y adquirió notoriedad por atacar a grandes empresas y entidades gubernamentales.
El modus operandi del grupo consiste en explotar vulnerabilidades en la seguridad de la red para desplegar ransomware, que cifra los datos de la víctima y exige un rescate, normalmente en criptomoneda, por las claves de descifrado.
Las operaciones de RA Group se caracterizan por una táctica de doble extorsión: no sólo cifran los archivos de la víctima, sino que también amenazan con hacer públicos los datos confidenciales robados si no se satisfacen sus peticiones de rescate. Esta táctica aumenta significativamente la presión sobre las víctimas para que accedan a sus demandas.
Con el tiempo, RA Group, ahora RA World, ha perfeccionado sus técnicas, convirtiéndose en uno de los grupos de ransomware más temidos por la comunidad de ciberseguridad.
Objetivos
Objetivos del Grupo RA
Países objetivo del Grupo RA
Muchos de los objetivos de RA Group se encontraban en Estados Unidos, y un número menor de ataques se produjo en países como Alemania, India y Taiwán.
Fuente: Trend Micro
Industrias a las que se dirige RA Group
El grupo se dirige principalmente a empresas de los sectores sanitario y financiero.
Fuente: Trend Micro
Industrias a las que se dirige RA Group
El grupo se dirige principalmente a empresas de los sectores sanitario y financiero.
Fuente: Trend Micro
Víctimas del Grupo RA
Hasta la fecha, más de 86 víctimas han sido presa de las operaciones maliciosas de RA Group.
Fuente: ransomware.live
Método de ataque
Método de ataque del grupo RA
RA Group consigue entrar en la red de la víctima mediante la explotación de vulnerabilidades en software sin parches, protocolos de escritorio remoto (RDP) expuestos o a través de correos electrónicos de phishing .
El grupo RA escala privilegios dentro de la red para obtener mayores niveles de acceso.
RA World obtiene y aprovecha credenciales para acceder a diversas partes de la red.
En el proceso de desplazamiento por la red, RA World identifica los sistemas críticos que son esenciales para las operaciones de la organización.
Una vez obtenido el acceso, RA World utiliza credenciales comprometidas y herramientas de la red interna para navegar lateralmente por la red.
El ransomware Babuk personalizado se despliega en la red, apuntando a archivos esenciales.
Se extrae de la red información confidencial, como registros financieros, información personal identificable (IPI) y propiedad intelectual.
El ransomware cifra archivos cruciales, haciéndolos inaccesibles para los usuarios legítimos.
Acceso inicial
RA Group consigue entrar en la red de la víctima mediante la explotación de vulnerabilidades en software sin parches, protocolos de escritorio remoto (RDP) expuestos o a través de correos electrónicos de phishing .
Escalada de privilegios
El grupo RA escala privilegios dentro de la red para obtener mayores niveles de acceso.
Defensa Evasión
Acceso con credenciales
RA World obtiene y aprovecha credenciales para acceder a diversas partes de la red.
Descubrimiento
En el proceso de desplazamiento por la red, RA World identifica los sistemas críticos que son esenciales para las operaciones de la organización.
Movimiento lateral
Una vez obtenido el acceso, RA World utiliza credenciales comprometidas y herramientas de la red interna para navegar lateralmente por la red.
Colección
Ejecución
El ransomware Babuk personalizado se despliega en la red, apuntando a archivos esenciales.
Exfiltración
Se extrae de la red información confidencial, como registros financieros, información personal identificable (IPI) y propiedad intelectual.
Impacto
El ransomware cifra archivos cruciales, haciéndolos inaccesibles para los usuarios legítimos.
MITRE ATT&CK Cartografía
TTPs utilizados por el Grupo RA
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar el grupo RA con Vectra AI
Preguntas frecuentes
¿Qué es RA Group/RA World?
RA Group, también conocido como RA World, es una organización cibercriminal conocida por ejecutar sofisticados ataques de ransomware. Sus objetivos suelen ser grandes empresas y entidades gubernamentales.
¿Cómo accede el Grupo RA a las redes?
RA Group aprovecha vulnerabilidades como software sin parches, protocolos de escritorio remoto (RDP) expuestos y estafas a través de phishing para obtener acceso inicial a las redes de sus objetivos.
¿Qué tipo de ransomware utiliza RA Group?
RA Group es conocido por utilizar ransomware desarrollado a medida, incluidas variantes como Babuk, que cifra los archivos de los sistemas infectados y exige un rescate por las claves de descifrado.
¿Cuál es el rescate típico exigido por RA Group?
El importe del rescate puede variar enormemente en función del objetivo y del valor percibido de los datos cifrados, oscilando a menudo entre decenas y cientos de miles de dólares, pagaderos en criptomoneda.
¿Cómo intensifica RA Group su ataque una vez dentro de una red?
Tras obtener el acceso inicial, RA Group suele utilizar credenciales comprometidas y herramientas internas para escalar privilegios y moverse lateralmente por la red para identificar y comprometer sistemas críticos.
¿Cuáles son las tácticas de doble extorsión utilizadas por RA Group?
RA Group no sólo cifra los datos de la víctima, sino que también roba información confidencial. Amenazan con hacer públicos los datos robados si no se paga el rescate.
¿Cómo pueden protegerse las organizaciones contra los ataques de RA Group?
Las organizaciones deben actualizar y parchear periódicamente los sistemas, impartir formación de concienciación en phishing , proteger el acceso RDP y utilizar autenticación multifactor. Implementar una plataforma de detección de amenazas basada en IA como Vectra AI también puede ayudar a detectar y responder a actividades sospechosas en una fase temprana.
¿Qué debe hacer una organización si es víctima de un ataque de RA Group?
Las organizaciones afectadas deben aislar los sistemas infectados, poner en marcha sus planes de respuesta a incidentes y de recuperación ante desastres, e informar del incidente a las fuerzas de seguridad. También es aconsejable recurrir a expertos en ciberseguridad para realizar un análisis forense y una posible recuperación de datos.
¿Se pueden recuperar los datos encriptados por RA Group sin pagar el rescate?
La recuperación de datos sin pagar el rescate depende de la variante específica de ransomware utilizada y de la disponibilidad de herramientas de descifrado. Las copias de seguridad suelen ser la forma más fiable de restaurar los datos cifrados.
¿Qué tendencias observamos en las actividades del Grupo RA?
RA Group ataca cada vez más a organizaciones con datos de gran valor e infraestructuras críticas, a menudo programando sus ataques para causar el máximo trastorno. Sus métodos siguen evolucionando, incorporando técnicas más sofisticadas para eludir la detección y aumentar su tasa de éxito.