RA Group Ransomware
El RA Group Ransomware s'adreça a les organitzacions xifrant una quantitat important de dades essencials. L'amenaça també modifica els noms originals dels fitxers afectats. Cada atac dut a terme pel grup RA pot implicar una nota de rescat única, normalment anomenada "Com restaurar els vostres fitxers.txt", que és probable que estigui dissenyada específicament per a l'empresa o organització objectiu. De la mateixa manera, el grup RA també pot afegir una extensió diferent als noms de fitxers dels fitxers xifrats per a cada víctima diferent.
En un cas confirmat, el RA Group Ransomware va afegir l'extensió '.GAGUP' als fitxers xifrats. En particular, l'amenaça RA Group és coneguda per utilitzar un procés de xifratge basat en el codi font filtrat de la coneguda amenaça Babuk Ransomware . Babuk, una operació de ransomware que va cessar les seves activitats el 2021, va servir de base per al desenvolupament de les tècniques de xifratge del grup RA.
El RA Group Ransomware suposa un greu perill per a les dades de les víctimes
La nota de rescat, adreçada a les víctimes del RA Group Ransomware, ofereix un missatge clar que les seves dades s'han xifrat. A més, els cibercriminals afirmen haver exfiltrat còpies de totes les dades compromeses al seu servidor, fent que l'atac sigui una operació de doble extorsió. Aquests mètodes garanteixen que les víctimes compleixin les demandes dels atacants.
La nota continua explicant la situació, destacant que els atacants han pres les dades de les víctimes i han xifrat els seus servidors. Assegura a les víctimes que els fitxers xifrats es poden desxifrar, la qual cosa implica que hi ha la possibilitat de recuperar les seves dades. A més, la nota estableix que un cop es compleixin els requisits dels atacants, les dades desades s'eliminaran permanentment. També enumera els diferents tipus de dades als quals han accedit els atacants durant la violació.
Per iniciar el procés de desxifrat, es demana a les víctimes que estableixin contacte amb els atacants i facin un pagament de rescat. El mètode de comunicació preferit que s'especifica a la nota és a través de qTox, i es proporciona una identificació de qTox específica a les víctimes. La nota adverteix explícitament que no es posen en contacte amb els atacants a través d'altres empreses intermediàries, suggerint que els atacants només estan interessats a treure profit de la situació i desanimar qualsevol implicació de tercers.
Pel que fa a les conseqüències de l'incompliment, la nota de rescat indica que si no s'estableix cap contacte en un termini de tres dies, els atacants faran públics els fitxers de mostra com a mitjà per pressionar les víctimes. A més, si les víctimes encara no aconsegueixen establir el contacte en un termini de set dies, la nota amenaça amb alliberar tots els fitxers xifrats públicament. Per accedir a informació addicional, es recomana a les víctimes que utilitzin el navegador Tor, conegut per les seves funcions d'anonimat.
Preneu un enfocament seriós cap a la seguretat dels vostres dispositius i dades
Els usuaris poden adoptar diverses mesures per protegir els seus dispositius i dades contra infeccions de ransomware de manera eficaç. En primer lloc, és crucial mantenir un programari de seguretat robust i actualitzat als seus dispositius. Això inclou l'ús de programari anti-malware fiable que pot detectar i bloquejar amenaces de ransomware. A més, mantenir el sistema operatiu, les aplicacions i el microprogramari actualitzats amb els pedaços i actualitzacions de seguretat més recents és essencial per abordar qualsevol vulnerabilitat que el ransomware pugui explotar.
Una altra mesura fonamental és tenir precaució i vigilància mentre navegueu per Internet i obriu fitxers adjunts de correu electrònic. Els usuaris haurien de desconfiar dels correus electrònics, enllaços o fitxers adjunts sospitosos de fonts desconegudes, ja que sovint poden servir com a punts d'entrada per a infeccions de ransomware. És recomanable comprovar l'autenticitat dels correus electrònics i els fitxers adjunts abans d'interactuar amb ells, sobretot si semblen inusuals o inesperats.
Fer còpies de seguretat regularment de les dades rellevants és un aspecte crucial de la protecció contra el ransomware. Crear còpies de seguretat fora de línia dels fitxers necessaris i emmagatzemar-los en dispositius separats o solucions d'emmagatzematge al núvol ajuda a assegurar-se que les dades es poden recuperar en cas d'atac de ransomware. És important mantenir diverses còpies de les còpies de seguretat i assegurar-se que s'emmagatzemen de manera segura per evitar l'accés no autoritzat.
L'habilitació de mesures de seguretat addicionals, com ara la protecció del tallafoc, els sistemes de detecció d'intrusions i la restricció dels privilegis dels usuaris, pot crear una capa addicional de defensa contra el ransomware. La implementació de contrasenyes fortes i exclusives i l'habilitació de l'autenticació de dos factors poden ajudar a prevenir l'accés no autoritzat a dispositius i comptes.
El text de la nota de rescat deixada per RA Group Ransomware és:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
