RA Grup
RA World olarak da bilinen RA Group, ilk olarak Nisan 2023'te Babuk fidye yazılımının özel bir varyantını kullanarak ortaya çıktı.
RA Grubunun Kökeni
RA Group 2020'lerin başında ortaya çıktı ve büyük şirketleri ve devlet kurumlarını hedef almasıyla ün kazandı.
Grubun çalışma yöntemi, kurbanın verilerini şifreleyen ve şifre çözme anahtarları için genellikle kripto para birimi cinsinden bir fidye talep eden fidye yazılımlarını dağıtmak için ağ güvenliğindeki güvenlik açıklarından yararlanmayı içerir.
RA Group'un operasyonları ikili bir şantaj taktiği ile karakterize edilir; sadece kurbanın dosyalarını şifrelemekle kalmaz, aynı zamanda fidye talepleri karşılanmazsa çalınan hassas verileri kamuya açıklamakla tehdit ederler. Bu taktik, taleplerini yerine getirmeleri için kurbanlar üzerindeki baskıyı önemli ölçüde artırmaktadır.
RA Group, şimdiki adıyla RA World, zaman içinde tekniklerini geliştirerek siber güvenlik camiasında en çok korkulan fidye yazılımı gruplarından biri haline geldi.
Hedefler
GİB Grup Hedefleri
RA Group tarafından hedeflenen ülkeler
RA Group'un hedeflerinin çoğu ABD'deydi ve daha az sayıda saldırı Almanya, Hindistan ve Tayvan gibi ülkelerde meydana geldi.
Kaynak Trend Micro
GİB Grubu Tarafından Hedeflenen Sektörler
Grup ağırlıklı olarak sağlık ve finans sektörlerindeki işletmeleri hedeflemektedir.
Kaynak Trend Micro
GİB Grubu Tarafından Hedeflenen Sektörler
Grup ağırlıklı olarak sağlık ve finans sektörlerindeki işletmeleri hedeflemektedir.
Kaynak Trend Micro
RA Grubunun Kurbanları
Bugüne kadar 86'dan fazla kurban RA Group'un kötü niyetli faaliyetlerinin kurbanı olmuştur.
Kaynak: ransomware.live
Saldırı Yöntemi
RA Grubunun Saldırı Yöntemi
RA Group, yamalanmamış yazılımlardaki güvenlik açıklarından yararlanarak, uzak masaüstü protokollerini (RDP'ler) açığa çıkararak veya phishing e-postaları aracılığıyla kurbanın ağına giriş yapar.
RA Group, daha yüksek erişim seviyeleri elde etmek için ağ içindeki ayrıcalıkları yükseltir.
RA World, ağın çeşitli bölümlerine erişmek için kimlik bilgilerini alır ve bunlardan yararlanır.
RA World, ağ üzerinde hareket etme sürecinde, kuruluşun operasyonları için gerekli olan kritik sistemleri tanımlar.
Erişim sağlandıktan sonra RA World, ağ üzerinde yanal olarak gezinmek için ele geçirilmiş kimlik bilgilerini ve dahili ağ araçlarını kullanır.
Özel Babuk fidye yazılımı ağa yerleştirilir ve önemli dosyaları hedef alır.
Finansal kayıtlar, kişisel olarak tanımlanabilir bilgiler (PII) ve fikri mülkiyet gibi hassas bilgiler ağdan dışarı sızar.
Fidye yazılımı önemli dosyaları şifreleyerek yasal kullanıcılar için erişilemez hale getirir.
İlk Erişim
RA Group, yamalanmamış yazılımlardaki güvenlik açıklarından yararlanarak, uzak masaüstü protokollerini (RDP'ler) açığa çıkararak veya phishing e-postaları aracılığıyla kurbanın ağına giriş yapar.
Ayrıcalık Yükseltme
RA Group, daha yüksek erişim seviyeleri elde etmek için ağ içindeki ayrıcalıkları yükseltir.
Savunma Kaçırma
Kimlik Bilgileri Erişimi
RA World, ağın çeşitli bölümlerine erişmek için kimlik bilgilerini alır ve bunlardan yararlanır.
Keşif
RA World, ağ üzerinde hareket etme sürecinde, kuruluşun operasyonları için gerekli olan kritik sistemleri tanımlar.
Yanal Hareket
Erişim sağlandıktan sonra RA World, ağ üzerinde yanal olarak gezinmek için ele geçirilmiş kimlik bilgilerini ve dahili ağ araçlarını kullanır.
Koleksiyon
Yürütme
Özel Babuk fidye yazılımı ağa yerleştirilir ve önemli dosyaları hedef alır.
Sızma
Finansal kayıtlar, kişisel olarak tanımlanabilir bilgiler (PII) ve fikri mülkiyet gibi hassas bilgiler ağdan dışarı sızar.
Etki
Fidye yazılımı önemli dosyaları şifreleyerek yasal kullanıcılar için erişilemez hale getirir.
MITRE ATT&CK Haritalama
RA Grubu tarafından kullanılan TTP'ler
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1484
Group Policy Modification
TA0005: Defense Evasion
T1112
Modify Registry
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1529
System Shutdown/Reboot
T1485
Data Destruction
T1486
Data Encrypted for Impact
Platform Tespitleri
RA Grubu ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
RA Group/RA World nedir?
RA World olarak da bilinen RA Group, sofistike fidye yazılımı saldırıları gerçekleştirmesiyle bilinen bir siber suç örgütüdür. Genellikle büyük şirketleri ve devlet kurumlarını hedef alırlar.
RA Group ağlara nasıl erişim sağlıyor?
RA Group, hedeflerinin ağlarına ilk erişimi elde etmek için yamalanmamış yazılımlar, açıkta kalan uzak masaüstü protokolleri (RDP'ler) ve phishing dolandırıcılığı gibi güvenlik açıklarından yararlanmaktadır.
RA Group ne tür fidye yazılımları kullanıyor?
RA Group, virüslü sistemlerdeki dosyaları şifreleyen ve şifre çözme anahtarları için fidye talep eden Babuk gibi varyantlar da dahil olmak üzere özel olarak geliştirilmiş fidye yazılımları kullanmasıyla bilinir.
RA Group tarafından talep edilen tipik fidye nedir?
Fidye tutarı, hedefe ve şifrelenmiş verilerin algılanan değerine bağlı olarak büyük ölçüde değişebilir, genellikle kripto para biriminde ödenebilir on ila yüz binlerce dolar arasında değişir.
RA Group bir ağa girdikten sonra saldırılarını nasıl artırıyor?
İlk erişimi elde ettikten sonra, RA Group genellikle ayrıcalıkları yükseltmek ve kritik sistemleri belirlemek ve taviz ağ boyunca yanal olarak hareket etmek için güvenliği ihlal edilmiş kimlik bilgilerini ve dahili araçları kullanır.
RA Group tarafından kullanılan ikili haraç taktikleri nelerdir?
RA Group yalnızca kurbanın verilerini şifrelemekle kalmaz, aynı zamanda hassas bilgileri de çalar. Fidye talepleri karşılanmazsa, çalınan bu verileri herkese açık olarak yayınlamakla tehdit ederler.
Kurumlar kendilerini RA Group saldırılarına karşı nasıl koruyabilir?
Kuruluşlar sistemleri düzenli olarak güncellemeli ve yamalamalı, phishing farkındalık eğitimi vermeli, RDP erişimini güvenli hale getirmeli ve çok faktörlü kimlik doğrulama kullanmalıdır. Vectra AI gibi yapay zeka odaklı bir tehdit algılama platformunun uygulanması da şüpheli faaliyetlerin erken tespit edilmesine ve bunlara yanıt verilmesine yardımcı olabilir.
Bir kuruluş RA Group saldırısına maruz kalırsa ne yapmalıdır?
Etkilenen kuruluşlar virüs bulaşmış sistemleri izole etmeli, olay müdahale ve felaket kurtarma planlarını başlatmalı ve olayı kolluk kuvvetlerine bildirmelidir. Adli analiz ve potansiyel veri kurtarma için siber güvenlik uzmanlarıyla iletişime geçilmesi de tavsiye edilir.
RA Group tarafından şifrelenen veriler fidye ödenmeden kurtarılabilir mi?
Fidye ödemeden veri kurtarma, kullanılan belirli fidye yazılımı varyantına ve şifre çözme araçlarının kullanılabilirliğine bağlıdır. Yedeklemeler genellikle şifrelenmiş verileri geri yüklemenin en güvenilir yoludur.
RA Group'un faaliyetlerinde ne gibi eğilimler görüyoruz?
RA Group, yüksek değerli verilere ve kritik altyapıya sahip kuruluşları giderek daha fazla hedef almakta ve genellikle saldırılarını maksimum kesinti için zamanlamaktadır. Yöntemleri, tespit edilmekten kaçınmak ve başarı oranlarını artırmak için daha sofistike teknikler içererek gelişmeye devam ediyor.