RA Group Ransomware
RA Group Ransomware on suunatud organisatsioonidele, krüpteerides olulise hulga olulisi andmeid. Oht muudab ka mõjutatud failide algseid nimesid. Iga RA Groupi sooritatud rünnak võib hõlmata ainulaadset lunaraha, tavaliselt nimega „Kuidas taastada failid.txt”, mis on tõenäoliselt spetsiaalselt loodud sihtettevõtte või organisatsiooni jaoks. Samamoodi võib RA Group iga ohvri jaoks lisada krüptitud failide failinimedele erineva laiendi.
Ühel kinnitatud juhtumil lisas RA Group Ransomware krüptitud failidele laienduse ".GAGUP". Nimelt on RA Groupi oht tuntud selle poolest, et kasutab kurikuulsa Babuk Ransomware ohu lekkinud lähtekoodil põhinevat krüpteerimisprotsessi. 2021. aastal tegevuse lõpetanud lunavaraoperatsioon Babuk oli aluseks RA Groupi krüpteerimistehnikate väljatöötamisele.
RA Group Ransomware kujutab endast tõsist ohtu ohvrite andmetele
Lunarahateade, mis on adresseeritud RA Group Ransomware ohvritele, edastab selge sõnumi, et nende andmed on krüpteeritud. Lisaks väidavad küberkurjategijad, et nad on eksfiltreerinud kõigi ohustatud andmete koopiad oma serverisse, muutes rünnaku tegelikult topeltväljapressimiseks. Sellised meetodid tagavad, et ohvrid täidavad ründajate nõudmisi.
Märkuses antakse olukorra selgitus, rõhutades, et ründajad on võtnud ohvrite andmed ja krüpteerinud nende serverid. See kinnitab ohvritele, et krüptitud faile saab dekrüpteerida, mis tähendab, et nende andmeid on võimalik taastada. Lisaks märgitakse märkuses, et kui ründajate nõuded on täidetud, kustutatakse salvestatud andmed jäädavalt. Samuti loetletakse eri tüüpi andmed, millele ründajad on rikkumise ajal juurde pääsenud.
Dekrüpteerimisprotsessi algatamiseks antakse ohvritele korraldus luua ründajatega kontakt ja tasuda lunaraha. Märkuses märgitud eelistatud suhtlusviis on qTox ning kannatanutele antakse konkreetne qToxi ID. Märkus hoiatab sõnaselgelt ründajatega ühenduse võtmise eest teiste vahendusettevõtete kaudu, viidates sellele, et ründajad on huvitatud ainult olukorrast kasu saamisest ja takistavad kolmandate osapoolte kaasamist.
Seoses nõuete täitmata jätmisega kaasnevate tagajärgedega viitab lunaraha, et kui kolme päeva jooksul kontakti ei leita, avalikustavad ründajad ohvrite survestamiseks näidistoimikud. Veelgi enam, kui ohvritel ei õnnestu ikkagi seitsme päeva jooksul kontakti luua, ähvardab märkus kõik krüptitud failid avalikult avaldada. Täiendava teabe saamiseks soovitatakse ohvritel kasutada Tor-brauserit, mis on tuntud oma anonüümsusfunktsioonide poolest.
Suhtuge oma seadmete ja andmete ohutuse poole tõsiselt
Kasutajad saavad oma seadmete ja andmete tõhusaks lunavaranakkuste eest kaitsmiseks kasutusele võtta mitmeid meetmeid. Esiteks on nende seadmetes ajakohase ja tugeva turbetarkvara säilitamine ülioluline. See hõlmab usaldusväärse pahavaravastase tarkvara kasutamist, mis suudab tuvastada ja blokeerida lunavaraohte. Lisaks on operatsioonisüsteemi, rakenduste ja püsivara värskendamine uusimate turvapaikade ja värskendustega ülioluline, et kõrvaldada kõik haavatavused, mida lunavara võib ära kasutada.
Teine oluline meede on olla Interneti sirvimisel ja meilimanuste avamisel ettevaatlik ja valvsus. Kasutajad peaksid olema ettevaatlikud tundmatutest allikatest pärinevate kahtlaste meilide, linkide või manuste suhtes, kuna need võivad sageli olla lunavaranakkuste sisenemispunktid. Soovitatav on enne nendega suhtlemist kontrollida e-kirjade ja manuste autentsust, eriti kui need tunduvad ebatavalised või ootamatud.
Asjakohaste andmete regulaarne varundamine on lunavarakaitse ülioluline aspekt. Vajalike failide võrguühenduseta varukoopiate loomine ja nende eraldi seadmetesse või pilvesalvestuslahendustesse salvestamine aitab tagada andmete taastamise lunavararünnaku korral. Volitamata juurdepääsu vältimiseks on oluline säilitada mitu varukoopiat ja tagada nende turvaline salvestamine.
Täiendavate turvameetmete, nagu tulemüürikaitse, sissetungimise tuvastamise süsteemid ja kasutajaõiguste piiramine, lubamine võib luua täiendava kaitsekihi lunavara vastu. Tugevate eksklusiivsete paroolide rakendamine ja kahefaktorilise autentimise lubamine aitab vältida volitamata juurdepääsu seadmetele ja kontodele.
RA Group Ransomware poolt maha pandud lunarahateate tekst on järgmine:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
