Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. cybercriminels
    >
  2. Grupo de ransomware

Grupo RA

RA Group, también conocido como RA World, apareció por primera vez en abril de 2023, utilizando una variante personalizada del ransomware Babuk.

Detectar TTPs utilizados por el Grupo RA
¿Está su organización a salvo de los ataques del grupo RA?
Antecedentes y objetivos
TTPs
Cartografía MITRE
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas
ANTECEDENTES
PAÍSES
INDUSTRIAS
VÍCTIMAS

El origen de RA Group

RA Group surgió a principios de la década de 2020 y adquirió notoriedad por atacar a grandes empresas y entidades gubernamentales.  

El modus operandi del grupo consiste en explotar vulnerabilidades en la seguridad de la red para desplegar ransomware, que cifra los datos de la víctima y exige un rescate, normalmente en criptomoneda, por las claves de descifrado.  

Las operaciones de RA Group se caracterizan por una táctica de doble extorsión: no sólo cifran los archivos de la víctima, sino que también amenazan con hacer públicos los datos confidenciales robados si no se satisfacen sus peticiones de rescate. Esta táctica aumenta significativamente la presión sobre las víctimas para que accedan a sus demandas.  

Con el tiempo, RA Group, ahora RA World, ha perfeccionado sus técnicas, convirtiéndose en uno de los grupos de ransomware más temidos por la comunidad de ciberseguridad.

Fuente: OCD

Países objetivo del Grupo RA

Muchos de los objetivos de RA Group se encontraban en Estados Unidos, y un número menor de ataques se produjo en países como Alemania, India y Taiwán.

Fuente: Trend Micro

Industrias a las que se dirige RA Group

El grupo se dirige principalmente a empresas de los sectores sanitario y financiero.

Fuente: Trend Micro

Financial Services and Banking

Healthcare

Víctimas del Grupo RA

Hasta la fecha, más de 86 víctimas han sido presa de las operaciones maliciosas de RA Group.

Fuente: ransomware.live

Método de ataque

Método de ataque del grupo RA

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

RA Group consigue entrar en la red de la víctima mediante la explotación de vulnerabilidades en software sin parches, protocolos de escritorio remoto (RDP) expuestos o a través de correos electrónicos de phishing .

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

El grupo RA escala privilegios dentro de la red para obtener mayores niveles de acceso.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

RA World obtiene y aprovecha credenciales para acceder a diversas partes de la red.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

En el proceso de desplazamiento por la red, RA World identifica los sistemas críticos que son esenciales para las operaciones de la organización.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Una vez obtenido el acceso, RA World utiliza credenciales comprometidas y herramientas de la red interna para navegar lateralmente por la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El ransomware Babuk personalizado se despliega en la red, apuntando a archivos esenciales.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Se extrae de la red información confidencial, como registros financieros, información personal identificable (IPI) y propiedad intelectual.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El ransomware cifra archivos cruciales, haciéndolos inaccesibles para los usuarios legítimos.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

RA Group consigue entrar en la red de la víctima mediante la explotación de vulnerabilidades en software sin parches, protocolos de escritorio remoto (RDP) expuestos o a través de correos electrónicos de phishing .

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

El grupo RA escala privilegios dentro de la red para obtener mayores niveles de acceso.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión
Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

RA World obtiene y aprovecha credenciales para acceder a diversas partes de la red.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

En el proceso de desplazamiento por la red, RA World identifica los sistemas críticos que son esenciales para las operaciones de la organización.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Una vez obtenido el acceso, RA World utiliza credenciales comprometidas y herramientas de la red interna para navegar lateralmente por la red.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

El ransomware Babuk personalizado se despliega en la red, apuntando a archivos esenciales.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Se extrae de la red información confidencial, como registros financieros, información personal identificable (IPI) y propiedad intelectual.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El ransomware cifra archivos cruciales, haciéndolos inaccesibles para los usuarios legítimos.

MITRE ATT&CK Cartografía

TTPs utilizados por el Grupo RA

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar el grupo RA con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es RA Group/RA World?

RA Group, también conocido como RA World, es una organización cibercriminal conocida por ejecutar sofisticados ataques de ransomware. Sus objetivos suelen ser grandes empresas y entidades gubernamentales.

¿Cómo accede el Grupo RA a las redes?

RA Group aprovecha vulnerabilidades como software sin parches, protocolos de escritorio remoto (RDP) expuestos y estafas a través de phishing para obtener acceso inicial a las redes de sus objetivos.

¿Qué tipo de ransomware utiliza RA Group?

RA Group es conocido por utilizar ransomware desarrollado a medida, incluidas variantes como Babuk, que cifra los archivos de los sistemas infectados y exige un rescate por las claves de descifrado.

¿Cuál es el rescate típico exigido por RA Group?

El importe del rescate puede variar enormemente en función del objetivo y del valor percibido de los datos cifrados, oscilando a menudo entre decenas y cientos de miles de dólares, pagaderos en criptomoneda.

¿Cómo intensifica RA Group su ataque una vez dentro de una red?

Tras obtener el acceso inicial, RA Group suele utilizar credenciales comprometidas y herramientas internas para escalar privilegios y moverse lateralmente por la red para identificar y comprometer sistemas críticos.

¿Cuáles son las tácticas de doble extorsión utilizadas por RA Group?

RA Group no sólo cifra los datos de la víctima, sino que también roba información confidencial. Amenazan con hacer públicos los datos robados si no se paga el rescate.

¿Cómo pueden protegerse las organizaciones contra los ataques de RA Group?

Las organizaciones deben actualizar y parchear periódicamente los sistemas, impartir formación de concienciación en phishing , proteger el acceso RDP y utilizar autenticación multifactor. Implementar una plataforma de detección de amenazas basada en IA como Vectra AI también puede ayudar a detectar y responder a actividades sospechosas en una fase temprana.

¿Qué debe hacer una organización si es víctima de un ataque de RA Group?

Las organizaciones afectadas deben aislar los sistemas infectados, poner en marcha sus planes de respuesta a incidentes y de recuperación ante desastres, e informar del incidente a las fuerzas de seguridad. También es aconsejable recurrir a expertos en ciberseguridad para realizar un análisis forense y una posible recuperación de datos.

¿Se pueden recuperar los datos encriptados por RA Group sin pagar el rescate?

La recuperación de datos sin pagar el rescate depende de la variante específica de ransomware utilizada y de la disponibilidad de herramientas de descifrado. Las copias de seguridad suelen ser la forma más fiable de restaurar los datos cifrados.

¿Qué tendencias observamos en las actividades del Grupo RA?

RA Group ataca cada vez más a organizaciones con datos de gran valor e infraestructuras críticas, a menudo programando sus ataques para causar el máximo trastorno. Sus métodos siguen evolucionando, incorporando técnicas más sofisticadas para eludir la detección y aumentar su tasa de éxito.

¿Está su organización a salvo de los ataques del grupo RA?

Evalúe su exposición a los ataques