RA Group Ransomware

باج افزار گروه RA سازمان ها را با رمزگذاری مقدار قابل توجهی از داده های ضروری هدف قرار می دهد. این تهدید همچنین نام اصلی فایل های تحت تاثیر را تغییر می دهد. هر حمله‌ای که توسط گروه RA انجام می‌شود ممکن است شامل یک یادداشت باج‌گیری منحصربه‌فرد باشد که معمولاً به نام «چگونه فایل‌های خود را بازیابی کنیم.» نام دارد که احتمالاً به‌طور خاص برای شرکت یا سازمان هدف ساخته شده است. به طور مشابه، گروه RA همچنین ممکن است پسوند متفاوتی را به نام فایل های فایل های رمزگذاری شده برای هر قربانی مختلف اضافه کند.

در یک نمونه تایید شده، باج افزار گروه RA پسوند '.GAGUP' را به فایل های رمزگذاری شده اضافه کرد. نکته قابل توجه، تهدید گروه RA به دلیل استفاده از فرآیند رمزگذاری بر اساس کد منبع فاش شده تهدید باج‌افزار بدنام Babuk شناخته شده است. بابوک، یک عملیات باج افزار که در سال 2021 فعالیت خود را متوقف کرد، به عنوان پایه ای برای توسعه تکنیک های رمزگذاری گروه RA عمل کرد.

باج افزار گروه RA خطری جدی برای داده های قربانیان ایجاد می کند

یادداشت باج‌گیری، خطاب به قربانیان باج‌افزار گروه RA، پیام واضحی را ارائه می‌دهد که داده‌های آنها رمزگذاری شده است. علاوه بر این، مجرمان سایبری ادعا می‌کنند که نسخه‌هایی از تمام داده‌های به خطر افتاده را به سرور خود منتقل کرده‌اند و عملاً این حمله را به یک عملیات اخاذی مضاعف تبدیل می‌کنند. چنین روش هایی تضمین می کند که قربانیان خواسته های مهاجمان را رعایت می کنند.

در ادامه این یادداشت توضیحی درباره وضعیت ارائه شده و تاکید شده است که مهاجمان اطلاعات قربانیان را گرفته و سرورهای آنها را رمزگذاری کرده اند. این به قربانیان اطمینان می دهد که فایل های رمزگذاری شده را می توان رمزگشایی کرد، به این معنی که امکان بازیابی اطلاعات آنها وجود دارد. علاوه بر این، یادداشت بیان می‌کند که پس از برآورده شدن الزامات مهاجمان، داده‌های ذخیره‌شده برای همیشه حذف خواهند شد. همچنین انواع مختلفی از داده هایی را که مهاجمان در حین رخنه به آنها دسترسی داشته اند فهرست می کند.

برای شروع فرآیند رمزگشایی، به قربانیان دستور داده می‌شود که با مهاجمان تماس برقرار کرده و باج بدهند. روش ترجیحی ارتباط مشخص شده در یادداشت از طریق qTox است و یک شناسه qTox خاص در اختیار قربانیان قرار می گیرد. این یادداشت صریحاً در مورد تماس با مهاجمان از طریق سایر شرکت‌های واسطه هشدار می‌دهد، و نشان می‌دهد که مهاجمان صرفاً به سود بردن از وضعیت و جلوگیری از هرگونه دخالت شخص ثالث علاقه‌مند هستند.

از نظر عواقب عدم رعایت، یادداشت باج نشان می‌دهد که اگر ظرف سه روز تماسی برقرار نشود، مهاجمان فایل‌های نمونه را به عنوان ابزاری برای تحت فشار قرار دادن قربانیان عمومی می‌کنند. علاوه بر این، اگر قربانیان همچنان نتوانند ظرف هفت روز تماس برقرار کنند، یادداشت تهدید می کند که همه فایل های رمزگذاری شده را به صورت عمومی منتشر می کند. برای دسترسی به اطلاعات بیشتر، به قربانیان توصیه می شود از مرورگر Tor استفاده کنند که به ویژگی های ناشناس بودن معروف است.

رویکردی جدی نسبت به ایمنی دستگاه ها و داده های خود داشته باشید

کاربران می توانند چندین تدابیر را برای محافظت موثر از دستگاه ها و داده های خود در برابر عفونت های باج افزار اتخاذ کنند. اولا، حفظ نرم افزار امنیتی به روز و قوی در دستگاه های آنها بسیار مهم است. این شامل استفاده از نرم افزار ضد بدافزار قابل اعتماد است که می تواند تهدیدات باج افزار را شناسایی و مسدود کند. علاوه بر این، به روز نگه داشتن سیستم عامل، برنامه ها و سیستم عامل با جدیدترین وصله ها و به روز رسانی های امنیتی برای رفع هر گونه آسیب پذیری که باج افزار ممکن است از آن سوء استفاده کند، ضروری است.

یکی دیگر از اقدامات اساسی این است که هنگام مرور اینترنت و باز کردن پیوست‌های ایمیل، احتیاط و هوشیاری را رعایت کنید. کاربران باید مراقب ایمیل‌ها، لینک‌ها یا پیوست‌های مشکوک از منابع ناشناخته باشند، زیرا اغلب می‌توانند به عنوان نقاط ورودی برای عفونت‌های باج‌افزار عمل کنند. توصیه می شود قبل از تعامل با ایمیل ها و پیوست ها صحت آنها را بررسی کنید، به خصوص اگر غیرمعمول یا غیرمنتظره به نظر می رسند.

پشتیبان گیری منظم از داده های مربوطه یک جنبه حیاتی از حفاظت باج افزار است. ایجاد پشتیبان‌گیری آفلاین از فایل‌های ضروری و ذخیره آن‌ها در دستگاه‌های جداگانه یا راه‌حل‌های ذخیره‌سازی ابری کمک می‌کند تا مطمئن شوید که داده‌ها می‌توانند در صورت حمله باج‌افزار بازیابی شوند. حفظ چندین نسخه پشتیبان و اطمینان از ذخیره ایمن آنها برای جلوگیری از دسترسی غیرمجاز بسیار مهم است.

فعال کردن اقدامات امنیتی اضافی مانند حفاظت از فایروال، سیستم‌های تشخیص نفوذ، و محدود کردن امتیازات کاربر می‌تواند یک لایه دفاعی اضافی در برابر باج‌افزار ایجاد کند. پیاده سازی رمزهای عبور قوی و منحصر به فرد و فعال کردن احراز هویت دو مرحله ای می تواند به جلوگیری از دسترسی غیرمجاز به دستگاه ها و حساب ها کمک کند.

متن باج‌نامه منتشر شده توسط باج‌افزار گروه RA به این صورت است: