RA Group Ransomware

RA Group Ransomware retter sig mod organisationer ved at kryptere en betydelig mængde væsentlige data. Truslen ændrer også de originale navne på de berørte filer. Hvert angreb, der udføres af RA Group, kan involvere en unik løsesumseddel, typisk kaldet 'How To Restore Your Files.txt', som sandsynligvis vil være specifikt udformet til den målrettede virksomhed eller organisation. På samme måde kan RA-gruppen også tilføje en anden udvidelse til filnavnene på krypterede filer for hvert enkelt offer.

I et bekræftet tilfælde tilføjede RA Group Ransomware udvidelsen '.GAGUP' til de krypterede filer. Navnlig er RA Group-truslen kendt for at bruge en krypteringsproces baseret på den lækkede kildekode fra den berygtede Babuk Ransomware- trussel. Babuk, en ransomware-operation, der stoppede sine aktiviteter i 2021, tjente som grundlaget for udviklingen af RA-gruppens krypteringsteknikker.

RA Group Ransomware udgør en alvorlig fare for ofredata

Løsesedlen, adresseret til ofrene for RA Group Ransomware, leverer en klar besked om, at deres data er blevet krypteret. Derudover hævder cyberkriminelle at have eksfiltreret kopier af alle de kompromitterede data til deres server, hvilket reelt gør angrebet til en dobbeltafpresningsoperation. Sådanne metoder sikrer, at ofrene vil efterkomme angribernes krav.

Notatet fortsætter med at give en forklaring på situationen og understreger, at angriberne har taget ofrenes data og krypteret deres servere. Det forsikrer ofrene om, at de krypterede filer kan dekrypteres, hvilket betyder, at der er mulighed for at gendanne deres data. Endvidere står der i notatet, at når angribernes krav er opfyldt, vil de gemte data blive slettet permanent. Den viser også de forskellige typer data, som angriberne har fået adgang til under bruddet.

For at påbegynde dekrypteringsprocessen bliver ofrene instrueret i at etablere kontakt med angriberne og foretage en løsesum. Den foretrukne kommunikationsmetode angivet i noten er gennem qTox, og et specifikt qTox-id gives til ofrene. Notatet advarer eksplicit mod at kontakte angriberne gennem andre mellemliggende virksomheder, hvilket antyder, at angriberne udelukkende er interesserede i at drage fordel af situationen og fraråde enhver tredjeparts involvering.

Med hensyn til konsekvenser for manglende overholdelse, angiver løsesumsedlen, at hvis der ikke etableres kontakt inden for tre dage, vil angriberne offentliggøre prøvefiler som et middel til at presse ofrene. Desuden, hvis ofrene stadig undlader at etablere kontakt inden for syv dage, truer notatet med at frigive alle de krypterede filer offentligt. For at få adgang til yderligere information rådes ofrene til at bruge Tor-browseren, som er kendt for sine anonymitetsfunktioner.

Tag en seriøs tilgang til sikkerheden af dine enheder og data

Brugere kan vedtage flere foranstaltninger for effektivt at beskytte deres enheder og data mod ransomware-infektioner. For det første er det afgørende at vedligeholde opdateret og robust sikkerhedssoftware på deres enheder. Dette inkluderer brug af pålidelig anti-malware-software, der kan opdage og blokere ransomware-trusler. Derudover er det vigtigt at holde operativsystemet, applikationerne og firmwaren opdateret med de nyeste sikkerhedsrettelser og opdateringer for at løse eventuelle sårbarheder, som ransomware kan udnytte.

En anden grundlæggende foranstaltning er at udvise forsigtighed og årvågenhed, mens du surfer på internettet og åbner vedhæftede filer. Brugere bør være på vagt over for mistænkelige e-mails, links eller vedhæftede filer fra ukendte kilder, da disse ofte kan tjene som indgangspunkter for ransomware-infektioner. Det er tilrådeligt at kontrollere ægtheden af e-mails og vedhæftede filer, før du interagerer med dem, især hvis de virker usædvanlige eller uventede.

Regelmæssig sikkerhedskopiering af relevante data er et afgørende aspekt af ransomware-beskyttelse. Oprettelse af offline sikkerhedskopier af nødvendige filer og lagring af dem på separate enheder eller cloud-lagringsløsninger hjælper med at sikre, at data kan genvindes i tilfælde af et ransomware-angreb. Det er vigtigt at bevare flere kopier af sikkerhedskopier og sikre, at de opbevares sikkert for at forhindre uautoriseret adgang.

Aktivering af yderligere sikkerhedsforanstaltninger såsom firewallbeskyttelse, indtrængendetekteringssystemer og begrænsning af brugerrettigheder kan skabe et ekstra lag af forsvar mod ransomware. Implementering af stærke, eksklusive adgangskoder og aktivering af tofaktorautentificering kan hjælpe med at forhindre uautoriseret adgang til enheder og konti.

Teksten til løsesumsedlen, der blev droppet af RA Group Ransomware er:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'