RA Group Ransomware

RA Group Ransomware kohdistuu organisaatioihin salaamalla huomattavan määrän olennaista dataa. Uhka muuttaa myös vaikutusten kohteena olevien tiedostojen alkuperäisiä nimiä. Jokainen RA Groupin suorittama hyökkäys voi sisältää ainutlaatuisen lunnaat, tyypillisesti nimeltään "Kuinka palauttaa tiedostosi.txt", joka on todennäköisesti erityisesti suunniteltu kohdeyritystä tai organisaatiota varten. Vastaavasti RA Group voi myös liittää eri tunnisteen salattujen tiedostojen tiedostonimiin jokaiselle eri uhrille.

Yhdessä vahvistetussa tapauksessa RA Group Ransomware lisäsi .GAGUP-laajennuksen salattuihin tiedostoihin. RA Groupin uhka tunnetaan erityisesti siitä, että se käyttää salausprosessia, joka perustuu pahamaineisen Babuk Ransomware -uhan vuotaneeseen lähdekoodiin. Babuk, vuonna 2021 toimintansa lopettanut kiristyshaittaohjelma, toimi perustana RA Groupin salaustekniikoiden kehittämiselle.

RA Group Ransomware aiheuttaa vakavan vaaran uhrien tiedoille

RA Group Ransomwaren uhreille osoitettu lunnausviesti antaa selkeän viestin, että heidän tietonsa on salattu. Lisäksi kyberrikolliset väittävät suodattaneensa kopioita kaikista vaarantuneista tiedoista palvelimelleen, mikä tekee hyökkäyksestä käytännössä kaksoiskiristysoperaation. Tällaiset menetelmät varmistavat, että uhrit noudattavat hyökkääjien vaatimuksia.

Muistiossa selitetään tilannetta ja korostetaan, että hyökkääjät ovat ottaneet uhrien tiedot ja salaaneet heidän palvelimensa. Se vakuuttaa uhreille, että salatut tiedostot voidaan purkaa, mikä tarkoittaa, että heidän tietonsa on mahdollista palauttaa. Lisäksi huomautuksessa todetaan, että kun hyökkääjien vaatimukset täyttyvät, tallennetut tiedot poistetaan pysyvästi. Siinä luetellaan myös erityyppiset tiedot, joita hyökkääjät ovat käyttäneet tietomurron aikana.

Salauksen purkuprosessin aloittamiseksi uhreja neuvotaan ottamaan yhteyttä hyökkääjiin ja suorittamaan lunnaita. Muistiinpanossa määritetty ensisijainen viestintätapa on qTox, ja uhreille annetaan erityinen qTox-tunnus. Muistiossa varoitetaan nimenomaisesti ottamasta yhteyttä hyökkääjiin muiden välittäjäyritysten kautta, ja vihjataan, että hyökkääjät ovat kiinnostuneita vain hyötymään tilanteesta ja estämään kolmannen osapuolen osallistumisesta.

Mitä tulee seuraamuksiin noudattamatta jättämisestä, lunnaat osoittavat, että jos yhteyttä ei saada kolmen päivän kuluessa, hyökkääjät julkaisevat näytetiedostoja painostaakseen uhreja. Lisäksi, jos uhrit eivät vieläkään saa yhteyttä seitsemän päivän kuluessa, viesti uhkaa julkaista kaikki salatut tiedostot julkisesti. Lisätietojen saamiseksi uhreja kehotetaan käyttämään anonymiteettiominaisuuksistaan tunnettua Tor-selainta.

Suhtaudu vakavasti laitteidesi ja tietojesi turvallisuuteen

Käyttäjät voivat käyttää useita toimenpiteitä suojatakseen laitteitaan ja tietojaan tehokkaasti kiristysohjelmatartunnalta. Ensinnäkin ajantasaisen ja vankan suojausohjelmiston ylläpitäminen heidän laitteissaan on ratkaisevan tärkeää. Tähän sisältyy luotettavien haittaohjelmien torjuntaohjelmistojen käyttö, jotka voivat havaita ja estää lunnasohjelmauhat. Lisäksi käyttöjärjestelmän, sovellusten ja laiteohjelmiston päivittäminen uusimmilla tietoturvakorjauksilla ja -päivityksillä on välttämätöntä, jotta voidaan korjata haavoittuvuudet, joita kiristysohjelmat voivat hyödyntää.

Toinen keskeinen toimenpide on olla varovainen ja valppaana selatessasi Internetiä ja avatessasi sähköpostin liitteitä. Käyttäjien tulee varoa tuntemattomista lähteistä peräisin olevia epäilyttäviä sähköposteja, linkkejä tai liitteitä, koska ne voivat usein toimia kiristysohjelmatartuntojen sisääntulopisteinä. On suositeltavaa tarkistaa sähköpostien ja liitteiden aitous ennen niiden käsittelemistä, varsinkin jos ne vaikuttavat epätavallisilta tai odottamattomilta.

Asianmukaisten tietojen säännöllinen varmuuskopiointi on olennainen osa kiristysohjelmien suojaamista. Tarvittavien tiedostojen offline-varmuuskopioiden luominen ja niiden tallentaminen erillisiin laitteisiin tai pilvitallennusratkaisuihin auttaa varmistamaan, että tiedot voidaan palauttaa kiristysohjelmahyökkäyksen sattuessa. On tärkeää säilyttää useita varmuuskopioita ja varmistaa, että ne säilytetään turvallisesti luvattoman käytön estämiseksi.

Lisäturvatoimenpiteiden, kuten palomuurisuojauksen, tunkeutumisen havaitsemisjärjestelmien ja käyttäjien oikeuksien rajoittamisen, käyttöönotto voi luoda ylimääräisen suojakerroksen kiristysohjelmia vastaan. Vahvojen, yksinomaisten salasanojen käyttöönotto ja kaksivaiheisen todennuksen mahdollistaminen voivat auttaa estämään luvattoman pääsyn laitteisiin ja tileihin.

RA Group Ransomwaren pudottama lunnaita koskeva teksti on:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'