RA Group Ransomware
Рансъмуерът на RA Group е насочен към организации чрез криптиране на значително количество основни данни. Заплахата също така променя оригиналните имена на засегнатите файлове. Всяка атака, извършена от RA Group, може да включва уникална бележка за откуп, обикновено наречена „Как да възстановите вашите файлове.txt“, която вероятно ще бъде специално изработена за целевата компания или организация. По същия начин RA Group може също да добави различно разширение към имената на криптирани файлове за всяка отделна жертва.
В един потвърден случай RA Group Ransomware добави разширението „.GAGUP“ към криптираните файлове. За отбелязване е, че заплахата от RA Group е известна с използването на процес на криптиране, базиран на изтеклия изходен код на прословутата заплаха Babuk Ransomware . Babuk, операция за рансъмуер, която прекрати дейността си през 2021 г., послужи като основа за разработването на техниките за криптиране на RA Group.
Рансъмуерът на RA Group представлява сериозна опасност за данните на жертвите
Бележката за откуп, адресирана до жертвите на рансъмуера на RA Group, дава ясно съобщение, че техните данни са криптирани. В допълнение, киберпрестъпниците твърдят, че са ексфилтрирали копия на всички компрометирани данни на техния сървър, което на практика превръща атаката в операция за двойно изнудване. Подобни методи гарантират, че жертвите ще се съобразят с исканията на нападателите.
Бележката продължава с обяснение на ситуацията, като подчертава, че нападателите са взели данните на жертвите и са криптирали техните сървъри. Той гарантира на жертвите, че криптираните файлове могат да бъдат декриптирани, което означава, че има възможност за възстановяване на техните данни. Освен това в бележката се посочва, че след като изискванията на нападателите бъдат изпълнени, запазените данни ще бъдат изтрити за постоянно. Той също така изброява различните видове данни, до които нападателите са имали достъп по време на пробива.
За да започне процеса на декриптиране, жертвите са инструктирани да установят контакт с нападателите и да извършат плащане на откуп. Предпочитаният метод за комуникация, посочен в бележката, е чрез qTox и на жертвите се предоставя специфичен qTox ID. Бележката изрично предупреждава да не се свързвате с нападателите чрез други посреднически компании, което предполага, че нападателите са заинтересовани единствено да спечелят от ситуацията и обезсърчават всякакво участие на трети страни.
По отношение на последствията при неспазване, бележката за откуп показва, че ако не бъде установен контакт в рамките на три дни, нападателите ще направят примерни файлове публични като средство за натиск върху жертвите. Освен това, ако жертвите все още не успеят да установят контакт в рамките на седем дни, бележката заплашва да пусне публично всички криптирани файлове. За достъп до допълнителна информация, жертвите се съветват да използват Tor Browser, който е известен със своите функции за анонимност.
Вземете сериозен подход към безопасността на вашите устройства и данни
Потребителите могат да приемат няколко мерки за ефективна защита на своите устройства и данни срещу рансъмуер инфекции. Първо, поддържането на актуален и стабилен софтуер за сигурност на техните устройства е от решаващо значение. Това включва използването на надежден софтуер против злонамерен софтуер, който може да открива и блокира заплахи от ransomware. Освен това поддържането на операционната система, приложенията и фърмуера актуализирани с най-новите корекции и актуализации за сигурност е от съществено значение за справяне с всякакви уязвимости, които може да експлоатира ransomware.
Друга основна мярка е да бъдете внимателни и бдителни, докато сърфирате в интернет и отваряте прикачени файлове към имейли. Потребителите трябва да внимават с подозрителни имейли, връзки или прикачени файлове от неизвестни източници, тъй като те често могат да служат като входни точки за инфекции с ransomware. Препоръчително е да проверявате автентичността на имейлите и прикачените файлове, преди да взаимодействате с тях, особено ако изглеждат необичайни или неочаквани.
Редовното архивиране на съответните данни е решаващ аспект на защитата от ransomware. Създаването на офлайн резервни копия на необходимите файлове и съхраняването им на отделни устройства или решения за съхранение в облак помага да се гарантира, че данните могат да бъдат възстановени в случай на атака на ransomware. Важно е да поддържате множество копия на резервни копия и да се уверите, че се съхраняват сигурно, за да предотвратите неоторизиран достъп.
Активирането на допълнителни мерки за сигурност, като защита на защитната стена, системи за откриване на проникване и ограничаване на потребителските привилегии, може да създаде допълнителен слой на защита срещу ransomware. Внедряването на силни, изключителни пароли и активирането на двуфакторно удостоверяване може да помогне за предотвратяване на неоторизиран достъп до устройства и акаунти.
Текстът на бележката за откуп, пусната от RA Group Ransomware, е:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
