RA Group Ransomware

تستهدف RA Group Ransomware المؤسسات عن طريق تشفير كمية كبيرة من البيانات الأساسية. يقوم التهديد أيضًا بتعديل الأسماء الأصلية للملفات المتأثرة. قد يتضمن كل هجوم تنفذه مجموعة RA ملاحظة فدية فريدة ، تسمى عادةً "How To Restore Your Files.txt" ، والتي من المحتمل أن تكون مصممة خصيصًا للشركة أو المنظمة المستهدفة. وبالمثل ، قد تقوم مجموعة RA أيضًا بإلحاق امتداد مختلف لأسماء الملفات المشفرة لكل ضحية مختلفة.

في إحدى الحالات المؤكدة ، أضافت RA Group Ransomware الامتداد ".GAGUP" إلى الملفات المشفرة. والجدير بالذكر أن تهديد RA Group معروف باستخدامه لعملية تشفير تستند إلى كود المصدر المسرب لتهديد Babuk Ransomware سيء السمعة. بابوك ، عملية برامج الفدية التي أوقفت أنشطتها في عام 2021 ، كانت بمثابة الأساس لتطوير تقنيات التشفير لمجموعة RA.

تشكل RA Group Ransomware خطراً جسيماً على بيانات الضحايا

مذكرة الفدية ، الموجهة إلى ضحايا RA Group Ransomware ، تقدم رسالة واضحة مفادها أن بياناتهم قد تم تشفيرها. بالإضافة إلى ذلك ، يدعي مجرمو الإنترنت أنهم قاموا بسرقة نسخ من جميع البيانات المخترقة إلى خادمهم ، مما يجعل الهجوم عملية ابتزاز مزدوجة بشكل فعال. هذه الأساليب تضمن امتثال الضحايا لمطالب المهاجمين.

تقدم المذكرة شرحًا للموقف ، مؤكدة أن المهاجمين أخذوا بيانات الضحايا وقاموا بتشفير خوادمهم. إنه يؤكد للضحايا أنه يمكن فك تشفير الملفات المشفرة ، مما يعني أن هناك إمكانية لاستعادة بياناتهم. علاوة على ذلك ، تنص الملاحظة على أنه بمجرد تلبية متطلبات المهاجمين ، سيتم حذف البيانات المحفوظة نهائيًا. كما يسرد الأنواع المختلفة من البيانات التي تمكن المهاجمون من الوصول إليها أثناء الاختراق.

لبدء عملية فك التشفير ، يُطلب من الضحايا إقامة اتصال مع المهاجمين ودفع الفدية. الطريقة المفضلة للاتصال المحددة في الملاحظة هي من خلال qTox ، ويتم توفير معرف qTox محدد للضحايا. تحذر المذكرة صراحةً من الاتصال بالمهاجمين من خلال شركات وسيطة أخرى ، مما يشير إلى أن المهاجمين مهتمون فقط بالربح من الموقف وتثبيط أي مشاركة لطرف ثالث.

فيما يتعلق بالعواقب المترتبة على عدم الامتثال ، تشير مذكرة الفدية إلى أنه إذا لم يتم إنشاء أي اتصال في غضون ثلاثة أيام ، فسيقوم المهاجمون بنشر عينات من الملفات للجمهور كوسيلة للضغط على الضحايا. علاوة على ذلك ، إذا فشل الضحايا في الاتصال في غضون سبعة أيام ، فإن المذكرة تهدد بالإفراج عن جميع الملفات المشفرة علنًا. للوصول إلى معلومات إضافية ، يُنصح الضحايا باستخدام متصفح Tor ، المعروف بميزات إخفاء الهوية.

اتخذ نهجًا جادًا تجاه سلامة أجهزتك وبياناتك

يمكن للمستخدمين اعتماد العديد من الإجراءات لحماية أجهزتهم وبياناتهم من عدوى برامج الفدية بشكل فعال. أولاً ، يعد الحفاظ على برامج الأمان المحدثة والقوية على أجهزتهم أمرًا بالغ الأهمية. يتضمن ذلك استخدام برامج موثوقة لمكافحة البرامج الضارة يمكنها اكتشاف تهديدات برامج الفدية وحظرها. بالإضافة إلى ذلك ، يعد تحديث نظام التشغيل والتطبيقات والبرامج الثابتة بأحدث تصحيحات الأمان والتحديثات أمرًا ضروريًا لمعالجة أي ثغرات أمنية قد تستغلها برامج الفدية.

إجراء أساسي آخر هو توخي الحذر واليقظة أثناء تصفح الإنترنت وفتح مرفقات البريد الإلكتروني. يجب أن يحذر المستخدمون من رسائل البريد الإلكتروني أو الروابط أو المرفقات المشبوهة من مصادر غير معروفة ، حيث يمكن أن تكون هذه غالبًا بمثابة نقاط دخول لعدوى برامج الفدية. يُنصح بالتحقق من صحة رسائل البريد الإلكتروني والمرفقات قبل التفاعل معها ، خاصةً إذا كانت تبدو غير عادية أو غير متوقعة.

يعد النسخ الاحتياطي للبيانات ذات الصلة بشكل منتظم جانبًا مهمًا من جوانب حماية برامج الفدية الضارة. يساعد إنشاء نسخ احتياطية من الملفات الضرورية في وضع عدم الاتصال وتخزينها على أجهزة منفصلة أو حلول التخزين السحابي على التأكد من إمكانية استرداد البيانات في حالة حدوث هجوم فدية. من المهم الاحتفاظ بنسخ متعددة من النسخ الاحتياطية والتأكد من تخزينها بشكل آمن لمنع الوصول غير المصرح به.

يمكن أن يؤدي تمكين إجراءات الأمان الإضافية مثل حماية جدار الحماية وأنظمة الكشف عن التسلل وتقييد امتيازات المستخدم إلى إنشاء طبقة دفاع إضافية ضد برامج الفدية. يمكن أن يساعد تنفيذ كلمات مرور قوية وحصرية وتمكين المصادقة الثنائية في منع الوصول غير المصرح به إلى الأجهزة والحسابات.

نص مذكرة الفدية التي أسقطتها RA Group Ransomware هو: