Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU
NOUVEAU

Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. cybercriminels
    >
  2. Groupe de Ransomware

Groupe RA

RA Group, également connu sous le nom de RA World, est apparu pour la première fois en avril 2023, utilisant une variante personnalisée du ransomware Babuk.

Détecter les TTP utilisées par le groupe RA
Votre organisation est-elle à l'abri des attaques du groupe RA ?
Contexte et objectifs
TTPs
Cartographie MITRE
Détection
Foire aux questions
Regarder notre Threat Briefing
CONTEXTE
PAYS
INDUSTRIES
VICTIMES

L'origine du groupe RA

Le groupe RA est apparu au début des années 2020 et s'est fait connaître en ciblant de grandes entreprises et des entités gouvernementales.  

Le mode opératoire du groupe consiste à exploiter les vulnérabilités de la sécurité des réseaux pour déployer des ransomwares, qui chiffrent les données de la victime et exigent une rançon, généralement en crypto-monnaie, pour obtenir les clés de déchiffrement.  

Les opérations de RA Group se caractérisent par une double tactique d'extorsion : ils ne se contentent pas de crypter les fichiers de la victime, mais menacent également de rendre publiques les données sensibles volées si leurs demandes de rançon ne sont pas satisfaites. Cette tactique augmente considérablement la pression exercée sur les victimes pour qu'elles se plient à leurs exigences.  

Au fil du temps, RA Group, devenu RA World, a affiné ses techniques, ce qui en fait l'un des groupes de ransomwares les plus redoutés par la communauté de la cybersécurité.

Source : OCD

Pays ciblés par le groupe RA

La plupart des cibles du groupe RA se trouvaient aux États-Unis, et un plus petit nombre d'attaques ont eu lieu dans des pays tels que l'Allemagne, l'Inde et Taïwan.

Source : Trend Micro

Industries ciblées par le groupe RA

Le groupe cible principalement les entreprises des secteurs de la santé et de la finance.

Source : Trend Micro

Financial Services and Banking

Healthcare

Victimes du groupe RA

À ce jour, plus de 86 personnes ont été victimes des opérations malveillantes du groupe RA.

Source : ransomware.live

Méthode d'attaque

Méthode d'attaque du groupe RA

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

RA Group s'introduit dans le réseau de la victime en exploitant les vulnérabilités des logiciels non corrigés, les protocoles de bureau à distance (RDP) exposés, ou par le biais de courriels à l'adresse phishing .

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Le groupe RA escalade les privilèges au sein du réseau pour obtenir des niveaux d'accès plus élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

RA World obtient et utilise des informations d'identification pour accéder à différentes parties du réseau.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

En se déplaçant sur le réseau, RA World identifie les systèmes critiques qui sont essentiels au fonctionnement de l'organisation.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Une fois l'accès obtenu, RA World utilise des informations d'identification compromises et des outils de réseau interne pour naviguer latéralement sur le réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware Babuk personnalisé est déployé sur le réseau et cible les fichiers essentiels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les informations sensibles telles que les dossiers financiers, les informations personnelles identifiables (PII) et la propriété intellectuelle sont exfiltrées du réseau.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Le ransomware crypte les fichiers essentiels, les rendant inaccessibles aux utilisateurs légitimes.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

RA Group s'introduit dans le réseau de la victime en exploitant les vulnérabilités des logiciels non corrigés, les protocoles de bureau à distance (RDP) exposés, ou par le biais de courriels à l'adresse phishing .

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Le groupe RA escalade les privilèges au sein du réseau pour obtenir des niveaux d'accès plus élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

RA World obtient et utilise des informations d'identification pour accéder à différentes parties du réseau.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

En se déplaçant sur le réseau, RA World identifie les systèmes critiques qui sont essentiels au fonctionnement de l'organisation.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Une fois l'accès obtenu, RA World utilise des informations d'identification compromises et des outils de réseau interne pour naviguer latéralement sur le réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le ransomware Babuk personnalisé est déployé sur le réseau et cible les fichiers essentiels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les informations sensibles telles que les dossiers financiers, les informations personnelles identifiables (PII) et la propriété intellectuelle sont exfiltrées du réseau.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Le ransomware crypte les fichiers essentiels, les rendant inaccessibles aux utilisateurs légitimes.

MITRE ATT&CK Mapping

TTP utilisées par le groupe RA

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter le groupe RA avec Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections
Évaluez votre exposition aux attaques

Votre organisation est-elle à l'abri des attaques du groupe RA ?

Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que RA Group/RA World ?

Comment le groupe RA accède-t-il aux réseaux ?

Quel type de ransomware RA Group utilise-t-il ?

Quelle est la rançon typique demandée par RA Group ?

Comment le groupe RA intensifie-t-il son attaque une fois qu'il a pénétré dans un réseau ?

Quelles sont les tactiques de double extorsion utilisées par le groupe RA ?

Comment les organisations peuvent-elles se protéger contre les attaques du groupe RA ?

Que doit faire une organisation si elle est victime d'une attaque du groupe RA ?

Les données cryptées par RA Group peuvent-elles être récupérées sans payer la rançon ?

Quelles sont les tendances observées dans les activités du groupe RA ?