RAworld

Überblick

Die als RA Group bezeichnete Erpressergruppe tritt auch unter dem Aliasnamen RA World auf. Sie setzt für ihre Angriffe eine eigens angepasste Variante der Babuk-Ransomware ein. Über diese Eckpunkte hinaus lassen sich der Quelle keine weiteren belastbaren Angaben zur Ausrichtung oder zum bevorzugten Opferkreis der Gruppe entnehmen.

Taktiken & Vorgehen

Im Vorgehen der Gruppe kommt ein Bündel verbreiteter System- und Angriffswerkzeuge zum Einsatz. Mit „ProcDump“ wird der Speicher laufender Prozesse ausgelesen, was sich zum Abgreifen von Zugangsdaten eignet. Über „PsExec“ werden Befehle und Programme aus der Ferne auf weiteren Systemen ausgeführt und so die seitliche Bewegung im Netz vorangetrieben. Das Framework „Impacket“ dient der Interaktion mit Netzwerkprotokollen und der Fernausführung. Hinzu kommen „NPS“ sowie der „Bluetooth Stack for Windows by Toshiba“ in Gestalt der Datei „toshdpdb.exe“, die zweckentfremdet als Bestandteil der Angriffskette genutzt wird.

Schutzmaßnahmen

Der Zugriff auf den Arbeitsspeicher laufender Prozesse sollte überwacht und der Einsatz von Werkzeugen wie „ProcDump“ eingeschränkt werden, um das Auslesen von Zugangsdaten zu erschweren. Die Ausführung von Administrationswerkzeugen wie „PsExec“ und „Impacket“ sollte protokolliert und auf berechtigte Konten begrenzt werden, um seitliche Bewegungen zu erkennen. Das Auftauchen unerwarteter Programme wie der Datei „toshdpdb.exe“ oder von Tunnelwerkzeugen wie „NPS“ sollte als Warnsignal behandelt und durch Anwendungssteuerung unterbunden werden.