RA Group Ransomware
باج افزار گروه RA سازمان ها را با رمزگذاری مقدار قابل توجهی از داده های ضروری هدف قرار می دهد. این تهدید همچنین نام اصلی فایل های تحت تاثیر را تغییر می دهد. هر حملهای که توسط گروه RA انجام میشود ممکن است شامل یک یادداشت باجگیری منحصربهفرد باشد که معمولاً به نام «چگونه فایلهای خود را بازیابی کنیم.» نام دارد که احتمالاً بهطور خاص برای شرکت یا سازمان هدف ساخته شده است. به طور مشابه، گروه RA همچنین ممکن است پسوند متفاوتی را به نام فایل های فایل های رمزگذاری شده برای هر قربانی مختلف اضافه کند.
در یک نمونه تایید شده، باج افزار گروه RA پسوند '.GAGUP' را به فایل های رمزگذاری شده اضافه کرد. نکته قابل توجه، تهدید گروه RA به دلیل استفاده از فرآیند رمزگذاری بر اساس کد منبع فاش شده تهدید باجافزار بدنام Babuk شناخته شده است. بابوک، یک عملیات باج افزار که در سال 2021 فعالیت خود را متوقف کرد، به عنوان پایه ای برای توسعه تکنیک های رمزگذاری گروه RA عمل کرد.
باج افزار گروه RA خطری جدی برای داده های قربانیان ایجاد می کند
یادداشت باجگیری، خطاب به قربانیان باجافزار گروه RA، پیام واضحی را ارائه میدهد که دادههای آنها رمزگذاری شده است. علاوه بر این، مجرمان سایبری ادعا میکنند که نسخههایی از تمام دادههای به خطر افتاده را به سرور خود منتقل کردهاند و عملاً این حمله را به یک عملیات اخاذی مضاعف تبدیل میکنند. چنین روش هایی تضمین می کند که قربانیان خواسته های مهاجمان را رعایت می کنند.
در ادامه این یادداشت توضیحی درباره وضعیت ارائه شده و تاکید شده است که مهاجمان اطلاعات قربانیان را گرفته و سرورهای آنها را رمزگذاری کرده اند. این به قربانیان اطمینان می دهد که فایل های رمزگذاری شده را می توان رمزگشایی کرد، به این معنی که امکان بازیابی اطلاعات آنها وجود دارد. علاوه بر این، یادداشت بیان میکند که پس از برآورده شدن الزامات مهاجمان، دادههای ذخیرهشده برای همیشه حذف خواهند شد. همچنین انواع مختلفی از داده هایی را که مهاجمان در حین رخنه به آنها دسترسی داشته اند فهرست می کند.
برای شروع فرآیند رمزگشایی، به قربانیان دستور داده میشود که با مهاجمان تماس برقرار کرده و باج بدهند. روش ترجیحی ارتباط مشخص شده در یادداشت از طریق qTox است و یک شناسه qTox خاص در اختیار قربانیان قرار می گیرد. این یادداشت صریحاً در مورد تماس با مهاجمان از طریق سایر شرکتهای واسطه هشدار میدهد، و نشان میدهد که مهاجمان صرفاً به سود بردن از وضعیت و جلوگیری از هرگونه دخالت شخص ثالث علاقهمند هستند.
از نظر عواقب عدم رعایت، یادداشت باج نشان میدهد که اگر ظرف سه روز تماسی برقرار نشود، مهاجمان فایلهای نمونه را به عنوان ابزاری برای تحت فشار قرار دادن قربانیان عمومی میکنند. علاوه بر این، اگر قربانیان همچنان نتوانند ظرف هفت روز تماس برقرار کنند، یادداشت تهدید می کند که همه فایل های رمزگذاری شده را به صورت عمومی منتشر می کند. برای دسترسی به اطلاعات بیشتر، به قربانیان توصیه می شود از مرورگر Tor استفاده کنند که به ویژگی های ناشناس بودن معروف است.
رویکردی جدی نسبت به ایمنی دستگاه ها و داده های خود داشته باشید
کاربران می توانند چندین تدابیر را برای محافظت موثر از دستگاه ها و داده های خود در برابر عفونت های باج افزار اتخاذ کنند. اولا، حفظ نرم افزار امنیتی به روز و قوی در دستگاه های آنها بسیار مهم است. این شامل استفاده از نرم افزار ضد بدافزار قابل اعتماد است که می تواند تهدیدات باج افزار را شناسایی و مسدود کند. علاوه بر این، به روز نگه داشتن سیستم عامل، برنامه ها و سیستم عامل با جدیدترین وصله ها و به روز رسانی های امنیتی برای رفع هر گونه آسیب پذیری که باج افزار ممکن است از آن سوء استفاده کند، ضروری است.
یکی دیگر از اقدامات اساسی این است که هنگام مرور اینترنت و باز کردن پیوستهای ایمیل، احتیاط و هوشیاری را رعایت کنید. کاربران باید مراقب ایمیلها، لینکها یا پیوستهای مشکوک از منابع ناشناخته باشند، زیرا اغلب میتوانند به عنوان نقاط ورودی برای عفونتهای باجافزار عمل کنند. توصیه می شود قبل از تعامل با ایمیل ها و پیوست ها صحت آنها را بررسی کنید، به خصوص اگر غیرمعمول یا غیرمنتظره به نظر می رسند.
پشتیبان گیری منظم از داده های مربوطه یک جنبه حیاتی از حفاظت باج افزار است. ایجاد پشتیبانگیری آفلاین از فایلهای ضروری و ذخیره آنها در دستگاههای جداگانه یا راهحلهای ذخیرهسازی ابری کمک میکند تا مطمئن شوید که دادهها میتوانند در صورت حمله باجافزار بازیابی شوند. حفظ چندین نسخه پشتیبان و اطمینان از ذخیره ایمن آنها برای جلوگیری از دسترسی غیرمجاز بسیار مهم است.
فعال کردن اقدامات امنیتی اضافی مانند حفاظت از فایروال، سیستمهای تشخیص نفوذ، و محدود کردن امتیازات کاربر میتواند یک لایه دفاعی اضافی در برابر باجافزار ایجاد کند. پیاده سازی رمزهای عبور قوی و منحصر به فرد و فعال کردن احراز هویت دو مرحله ای می تواند به جلوگیری از دسترسی غیرمجاز به دستگاه ها و حساب ها کمک کند.
متن باجنامه منتشر شده توسط باجافزار گروه RA به این صورت است: