Bulletin sur les attaques hybrides : Découvrir Salt Typhoon - La tempête silencieuse dans les cyberattaques des opérateurs télécoms >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
cybercriminels
>
Groupe de Ransomware

RA World

RA Group, également connu sous le nom de RA World, est apparu pour la première fois en avril 2023, utilisant une variante personnalisée du ransomware Babuk.

Détecter les TTPs utilisées par RA World
Votre organisation est-elle à l'abri des attaques de RA World ?
Contexte
Cibles
TTPs
Détection
Foire aux questions
Regarder le briefing sur les menaces

Les origines du groupe RA World

Le groupe RA World est apparu au début des années 2020 et s'est fait connaître en ciblant de grandes entreprises et des entités gouvernementales.  

Le mode opératoire du groupe consiste à exploiter les vulnérabilités de la sécurité des réseaux pour déployer des ransomwares, qui chiffrent les données de la victime et exigent une rançon, généralement en crypto-monnaie, pour obtenir les clés de déchiffrement.  

Les opérations de RA Group se caractérisent par une double tactique d'extorsion : ils ne se contentent pas de crypter les fichiers de la victime, mais menacent également de rendre publiques les données sensibles volées si leurs demandes de rançon ne sont pas satisfaites. Cette tactique augmente considérablement la pression exercée sur les victimes pour qu'elles se plient à leurs exigences.  

Au fil du temps, RA Group, devenu RA World, a affiné ses techniques, ce qui en fait l'un des groupes de ransomwares les plus redoutés par la communauté de la cybersécurité.

Les origines du groupe RA World
Cibles

Les cibles de RA World

Pays ciblés par le RA World

La plupart des cibles du groupe RA se trouvaient aux États-Unis, et un plus petit nombre d'attaques ont eu lieu dans des pays tels que l'Allemagne, l'Inde et Taïwan.

Source : Trend Micro

Secteurs ciblés par RA World

Le groupe cible principalement les entreprises des secteurs de la santé et de la finance.

Source : Trend Micro

Secteurs ciblés par RA World

Le groupe cible principalement les entreprises des secteurs de la santé et de la finance.

Source : Trend Micro

Les victimes de RA World

À ce jour, plus de 86 entreprises ont été victimes des attaques du groupe RA World.

Source : ransomware.live

Méthode d'attaque

Méthode d'attaque de RA World

Accès Initial
Élévation de privilèges
Défense Evasion
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

RA Group s'introduit dans le réseau de la victime en exploitant les vulnérabilités des logiciels non corrigés, les protocoles de bureau à distance (RDP) exposés, ou par le biais de courriels à l'adresse phishing .

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Le groupe RA escalade les privilèges au sein du réseau pour obtenir des niveaux d'accès plus élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

RA World obtient et utilise des informations d'identification pour accéder à différentes parties du réseau.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

En se déplaçant sur le réseau, RA World identifie les systèmes critiques qui sont essentiels au fonctionnement de l'organisation.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

Une fois l'accès obtenu, RA World utilise des informations d'identification compromises et des outils de réseau interne pour naviguer latéralement sur le réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.

Le ransomware Babuk personnalisé est déployé sur le réseau et cible les fichiers essentiels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Les informations sensibles telles que les dossiers financiers, les informations personnelles identifiables (PII) et la propriété intellectuelle sont exfiltrées du réseau.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

Le ransomware crypte les fichiers essentiels, les rendant inaccessibles aux utilisateurs légitimes.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

RA Group s'introduit dans le réseau de la victime en exploitant les vulnérabilités des logiciels non corrigés, les protocoles de bureau à distance (RDP) exposés, ou par le biais de courriels à l'adresse phishing .

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Le groupe RA escalade les privilèges au sein du réseau pour obtenir des niveaux d'accès plus élevés.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion
Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

RA World obtient et utilise des informations d'identification pour accéder à différentes parties du réseau.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

En se déplaçant sur le réseau, RA World identifie les systèmes critiques qui sont essentiels au fonctionnement de l'organisation.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

Une fois l'accès obtenu, RA World utilise des informations d'identification compromises et des outils de réseau interne pour naviguer latéralement sur le réseau.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection
Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution

Le ransomware Babuk personnalisé est déployé sur le réseau et cible les fichiers essentiels.

Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Les informations sensibles telles que les dossiers financiers, les informations personnelles identifiables (PII) et la propriété intellectuelle sont exfiltrées du réseau.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

Le ransomware crypte les fichiers essentiels, les rendant inaccessibles aux utilisateurs légitimes.

MITRE ATT&CK Mapping

TTP utilisées par le groupe RA World

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Détections de la plate-forme

Comment détecter RA World avec Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Voir plus de détections
Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que RA Group/RA World ?

RA Group, également connu sous le nom de RA World, est une organisation cybercriminelle connue pour ses attaques sophistiquées par ransomware. Elle cible généralement les grandes entreprises et les entités gouvernementales.

Comment le groupe RA accède-t-il aux réseaux ?

Le groupe RA exploite des vulnérabilités telles que des logiciels non corrigés, des protocoles de bureau à distance (RDP) exposés et des escroqueries de type phishing pour obtenir un accès initial aux réseaux de ses cibles.

Quel type de ransomware RA Group utilise-t-il ?

RA Group est connu pour utiliser des ransomwares développés sur mesure, y compris des variantes comme Babuk, qui cryptent les fichiers sur les systèmes infectés et demandent une rançon pour obtenir les clés de décryptage.

Quelle est la rançon typique demandée par RA Group ?

Le montant de la rançon peut varier considérablement en fonction de la cible et de la valeur perçue des données cryptées, allant souvent de dizaines à des centaines de milliers de dollars, payables en crypto-monnaies.

Comment le groupe RA intensifie-t-il son attaque une fois qu'il a pénétré dans un réseau ?

Après avoir obtenu l'accès initial, le groupe RA utilise généralement des informations d'identification compromises et des outils internes pour escalader les privilèges et se déplacer latéralement sur le réseau afin d'identifier et de compromettre les systèmes critiques.

Quelles sont les tactiques de double extorsion utilisées par le groupe RA ?

RA Group ne se contente pas de crypter les données de la victime, mais vole également des informations sensibles. Ils menacent de rendre publiques ces données volées si leurs demandes de rançon ne sont pas satisfaites.

Comment les organisations peuvent-elles se protéger contre les attaques du groupe RA ?

Les organisations doivent régulièrement mettre à jour et patcher les systèmes, organiser des formations de sensibilisation sur phishing , sécuriser l'accès RDP et utiliser l'authentification multifactorielle. La mise en œuvre d'une plateforme de détection des menaces basée sur l'IA, telle que Vectra AI , peut également aider à détecter et à répondre rapidement aux activités suspectes.

Que doit faire une organisation si elle est victime d'une attaque du groupe RA ?

Les organisations concernées doivent isoler les systèmes infectés, mettre en place des plans d'intervention et de reprise après sinistre et signaler l'incident aux autorités policières. Il est également conseillé de faire appel à des experts en cybersécurité pour une analyse médico-légale et une éventuelle récupération des données.

Les données cryptées par RA Group peuvent-elles être récupérées sans payer la rançon ?

La récupération des données sans paiement de la rançon dépend de la variante de ransomware utilisée et de la disponibilité des outils de décryptage. Les sauvegardes sont souvent le moyen le plus fiable de restaurer les données cryptées.

Quelles sont les tendances observées dans les activités du groupe RA ?

Le groupe RA s'en prend de plus en plus aux organisations disposant de données de grande valeur et d'infrastructures critiques, en programmant souvent ses attaques de manière à les perturber au maximum. Ses méthodes continuent d'évoluer, intégrant des techniques plus sophistiquées pour échapper à la détection et augmenter son taux de réussite.

Votre organisation est-elle à l'abri des attaques de RA World ?

Évaluez votre exposition aux attaques