O grupo de ransomware RA Group, agora conhecido como RA World, mostrou um aumento notável em sua atividade desde março de 2024. Cerca de 37% de todas as postagens em seu site de vazamento na dark web apareceram desde março, sugerindo que este é um grupo emergente para assistir. Este artigo descreve as táticas, técnicas e procedimentos (TTPs) utilizados pela RA World.
RA World usa um esquema de multi-extorsão, que geralmente inclui a extração de dados confidenciais de suas vítimas antes de criptografá-los. Os operadores de ransomware usam os dados exfiltrados como alavancagem, ameaçando publicá-los em seu site caso as vítimas não atendam às suas demandas de resgate.
A RA World experimentou notavelmente um cálculo de “cost por customer”. Abaixo das entradas das vítimas, eles publicaram comentários como, “Esta empresa está disposta a pagar $0.5 por cliente para proteger a sua privacidade.”
A análise dos posts em seu site de vazamento mostra que a RA World impactou principalmente organizações no setor de saúde até recentemente. O grupo não parecia ter nenhum escrúpulo particular em atacar organizações em um setor sensível, como a saúde. A meio de 2024, a indústria transformadora tornou-se o setor mais impactado pelo grupo. É possível que a mudança tenha vindo de um desejo de atacar organizações mais propensas a pagar resgates mais altos. No entanto, muitos grupos de ransomware são simplesmente oportunistas, e também é possível que a mudança tenha sido incidental.
Os EUA são o país mais afetado por esses ataques, seguidos por países da Europa e do Sudeste Asiático.
Desde então Talos descrito pela primeira vez em 2023, o RA World tem estado constantemente ativo. Das organizações que alegou publicamente ter violado, o maior número estava no setor manufatureiro. A Figura 1 abaixo detalha as estatísticas de diferentes setores afetados pelo RA World. Os dados abrangem o período de meados de 2023 a 6 de junho de 2024.
De acordo com a análise dos dados do local de vazamento, a RA World impacta mais as organizações baseadas nos EUA. O grupo também impactou organizações em vários países da Europa, como Alemanha e França. Na Ásia, as organizações em Taiwan foram afetadas. Além disso, Tendência Micro informou que o grupo realizou recentemente uma campanha que afetou organizações na América do Sul.
Quando a RA World renomeou sua gangue do RA Group, eles também mudaram suas extensões de arquivo criptografadas para .RAWLD. Além disso, eles mudaram o título e o conteúdo de sua nota de resgate para incluir seu novo nome, como mostrado na Figura 2 abaixo.
A RA World mantém um site de vazamento, onde o grupo carrega partes dos dados roubados que eles exfiltram de suas vítimas para coagir os pagamentos de resgate. O design do site também parece atualizado em comparação com a aparência simples do site antigo que foi mostrada em pesquisa anterior em 2023. As Figuras 3 e 4 abaixo mostram as duas iterações recentes da página principal do site de vazamento.
Na versão mais recente do site’, eles exibem uma linha famosa do trabalho do poeta inglês John Donne, “para quem o sino toca, ele cobra por ti” na página principal. Os agentes de ameaças também usam essa linha como a string para o mutex em sua carga útil final, o ransomware Babuk.
A Figura 5 mostra a parte inferior da página principal do groupetts, que contém um link para uma pesquisa X (anteriormente Twitter). O lado direito da captura de tela reivindica um “copyright” para o site sob seu novo nome RA World, mas a partir deste escrito, o, o link de pesquisa X ainda aponta para o termo de pesquisa mais antigo, grupo.
O X é considerado uma plataforma importante para fornecedores e pesquisadores de segurança compartilharem descobertas, por isso faria sentido que o agente de ameaças seguisse o uso de seu nome para publicações sobre sua atividade.
A Figura 6 mostra uma página de fuga de vítimas do início de 2024, onde a RA World tentou danificar publicamente a reputação das vítimas, afirmando que o que alegam é o custo real de “ por cliente.” Eles chegam a esse número tomando o valor total do resgate solicitado dividido pelo número de clientes vítimas, se a vítima for uma empresa voltada para o cliente. Eles enquadram esse número em termos do que a vítima não está disposta a pagar para “proteger seus clientes’ privacy.”
Os agentes de ameaças atualizaram a página de vazamento de vítimas na versão recente do site de vazamento, conforme mostrado na Figura 7 abaixo. Removeram o valor de “cost per customer”, mas adicionaram uma secção “Coming soon….” que mostra novas vítimas que em breve serão listadas. Esta seção é provavelmente destinada a incluir vítimas que não estavam dispostas a pagar o resgate, e a RA World ainda está no processo de upload de seus dados exfiltrados.
Mapeamos os estágios de ataque usando a estrutura MITRE ATT&CK para atividades comuns ao RA World.
Com base em nossa telemetria, a RA World explora predominantemente servidores voltados para a Internet mal configurados ou vulneráveis. Não observamos casos de ataques de phishing para obter acesso inicial ao ambiente.
Observamos o ator de ameaça tentando usar o PsExec utilitário para despejar credenciais executando outro SysInternais ferramenta, ProcDump. Eles também tentaram executar o quser e tscon comandos para recuperar dados sobre o usuário atual e a sessão remota.
A Figura 8 abaixo mostra que o Cortex XDR impediu essas tentativas.
Para se mover lateralmente na rede comprometida e executar comandos em endpoints remotos, a RA World usou o popular Empacotamento ferramenta. Eles executaram comandos remotos para despejar o Colmeia SAM, copiou o Base de dados NTDS e exportou o registro do sistema.
O ator da ameaça então usou o maquilhagem utilitário para arquivar os bancos de dados e excluído os arquivos de banco de dados extraídos anteriormente do disco. A Tabela 1 abaixo mostra os comandos e suas descrições.
| Comando | Descrição |
| cmd.exe /Q /c copiar \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit [redigido].dit 1> \\127.0.0.1\ADMIN$\__1706227818.9154336 2>&1 | Copiando o banco de dados NTDS |
| cmd.exe /Q /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\System32\config\SAM [redacted].hiv 1> \\127.0.0.1\ADMIN$\__1706227818.9154336 2>&1 | Exporting the SAM hive |
| cmd.exe /Q /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\System32\config\SYSTEM [redacted].hiv 1> \\127.0.0.1\ADMIN$\__1706227818.9154336 2>&1 | Exporting the system’s registry |
| cmd.exe /Q /c makecab [redacted].dit [redacted].zip 1> \\127.0.0.1\ADMIN$\__1706227818.9154336 2>&1 | An example of archiving the NTDS database |
Table 1. The RA World’s lateral movement and credentials dumping commands and their respective descriptions.
The attackers executed the above commands under the Windows Management Instrument (WMI) Provider Host.
Figure 9 shows the alerts raised when Cortex XDR detected them.
Germán Fernández, pesquisador de segurança do Chile, twittou sobre vários artefatos encontrados em um ataque de ransomware pela RA World no início deste ano. Os artefatos que ele mencionou incluem vários arquivos executáveis e scripts.
A Trend Micro publicou o primeiro relatório público do conjunto de ferramentas atualizadas do RA World’ no início de março de 2024. Sua análise dos arquivos revelou várias etapas, cada uma com seu próprio papel no processo de infecção antes da entrega da carga útil final do ransomware.
O carregador inicial, também conhecido como Stage1.exe, tem dois papéis principais:
Os carregadores são geralmente pequenos arquivos com um tamanho máximo de cerca de 10 KB. A Figura 10 abaixo mostra a maior parte do código de loaderilitis.
O próximo estágio da cadeia de infecção tem dois mecanismos de operação separados que dependem de o sistema estar ou não em execução no modo de segurança. Stage3.exe deve ser executado no modo de segurança para que ele possa evitar a detecção por soluções de segurança que, por padrão, wonilitt executar neste modo. Este arquivo é a carga útil final do ransomware e uma nova variante do Babuk.
Se o sistema estiver operando no modo de segurança, o binário Babuk será descriptografado usando o Advanced Encryption Standard (AES) e, em seguida, executado, seguido por uma tentativa de desativar a inicialização segura. A chave AES e o vetor de iniciação são gerados com base no nome de domínio local victimilits, que o malware teria recuperado anteriormente Stage1.exe.
Caso contrário, Stage2.exe irá escrever-se como um serviço para a máquina comprometida, usando o seguinte comando:
A Figura 11 mostra a execução de Stage2.exe que o Cortex XDR detectou e impediu.
Desde a sua descoberta em meados de 2023, a RA World usou uma versão personalizada do ransomware Babuk, que teve seu código-fonte vazado em 2021. Em sua atividade recente, a RA World atualizou sua carga útil baseada em Babuk com algumas mudanças relativamente pequenas. As alterações nesta variante incluem:
As Figuras 12 e 13 mostram o Cortex XDR detectando e impedindo a execução da carga útil RA Worldilitis Babuk.
Durante nossa pesquisa, identificamos algumas conexões nos dados forenses encontrados em nossa telemetria que, com um nível de atribuição de baixa confiança, vinculam o RA World BRONZE STARLIGHT (também conhecido como Emperor Dragonfly). O BRONZE STARLIGHT é um grupo de ameaças chinês que implanta diferentes cargas úteis de ransomware.
Vários dos TTPs que encontramos sobrepostos com TTPs usados por BRONZE STARLIGHT, como discutido por Sygnia em 2022.
O caminho do qual a ferramenta NPS estava operando nesta pesquisa compartilha semelhanças com as convenções de caminho escolhidas pelo BRONZE STARLIGHT’. A Tabela 2 abaixo apresenta essas semelhanças.
Essas pastas existem por padrão no sistema operacional, portanto, isso não é evidência suficiente por si só para conectar a atividade relacionada a esse grupo ou a outro. No entanto, acreditamos que não é coincidência que dois grupos de ransomware usem essa ferramenta incomum e optem por colocá-la em um caminho semelhante em ambientes infectados, usando o atualização sufixo para ambos os arquivos.
| RA Mundo | BRONZE STARLIGHT |
| C:\Windows\Ajuda\Windows\ContentStore\[redigido]_atualização.exe | C:\Windows\Ajuda\mui\0409\WindowsAtualização.exe |
Tabela 2. Semelhanças de caminho de arquivo e convenção de nomenclatura entre as variantes de ferramenta NPS implantadas pela RA World e BRONZE STARLIGHT.
Algumas iterações de código variantes’ parecem incompletas, e isso reforça a nossa suposição de que este pode ser o agente de ameaças testando seu arsenal para taxas de detecção.
Uma variante incluiu as duas cordas vistas na Figura 14 abaixo. Essas strings continham endereços IP internos, que não existiam em outras amostras. A presença dessas strings também indica que esta é uma variante do carregador inicial, provavelmente em uma fase de desenvolvimento.
Todas as submissões tinham apenas um apresentador distinto. Este remetente carregou uma amostra após a outra com alguns minutos entre, em 3 de julho de 2023. A Figura 15 abaixo mostra as informações do remetente.
No entanto, é importante notar que poderia haver outras explicações para as conexões descritas aqui. Por exemplo, outros atores de ameaças podem coincidentemente usar Babuk ou algumas das mesmas ferramentas de código aberto, e os atores de ameaças de outros países podem estar propensos aos mesmos tipos de erros ortográficos. Portanto, enquanto os possíveis laços com BRONZE STARLIGHT trazem possibilidades intrigantes, avaliamos a conexão com baixa confiança neste momento.
Neste artigo, analisamos os últimos desenvolvimentos na operação do RA World que recentemente se renomeou do RA Group. Descrevemos evoluções tanto no local de vazamento quanto em suas ferramentas operacionais. Eles usaram dois carregadores diferentes para entregar sua carga útil final, que era uma nova variante do ransomware Babuk.
O grupo RA World continua ativo e afeta principalmente o setor de manufatura de acordo com seus dados públicos do local de vazamento.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…