RA Group Ransomware

תוכנת הכופר של קבוצת RA מכוונת לארגונים על ידי הצפנת כמות משמעותית של נתונים חיוניים. האיום גם משנה את השמות המקוריים של הקבצים המושפעים. כל התקפה שמתבצעת על ידי קבוצת RA עשויה להיות כרוכה בפתק כופר ייחודי, הנקרא בדרך כלל 'How To Restore Your Files.txt', אשר עשוי להיות בעל מבנה ספציפי עבור החברה או הארגון הממוקדים. באופן דומה, קבוצת RA עשויה גם לצרף סיומת שונה לשמות הקבצים של קבצים מוצפנים עבור כל קורבן שונה.

באחד המקרים המאושרים, תוכנת הכופר של קבוצת RA הוסיפה את סיומת '.GAGUP' לקבצים המוצפנים. יש לציין כי איום RA Group ידוע בשימוש בתהליך הצפנה המבוסס על קוד המקור שדלף של איום Babuk Ransomware הידוע לשמצה. Babuk, פעולת כופר שהפסיקה את פעילותה ב-2021, שימשה בסיס לפיתוח טכניקות ההצפנה של קבוצת RA.

תוכנת הכופר של קבוצת RA מהווה סכנה חמורה לנתוני הקורבנות

פתק הכופר, המופנה לקורבנות תוכנת הכופר של קבוצת RA, מספק מסר ברור שהנתונים שלהם הוצפנו. בנוסף, פושעי הסייבר טוענים כי הוציאו עותקים של כל הנתונים שנפגעו לשרת שלהם, ובכך למעשה הפכו את המתקפה לפעולת סחיטה כפולה. שיטות כאלה מבטיחות שהקורבנות ייענו לדרישות התוקפים.

הפתק ממשיך ומספק הסבר על המצב, ומדגיש כי התוקפים לקחו את הנתונים של הקורבנות והצפנו את השרתים שלהם. זה מבטיח לקורבנות שניתן לפענח את הקבצים המוצפנים, מה שמרמז שיש אפשרות לשחזר את הנתונים שלהם. יתרה מכך, ההערה מציינת כי לאחר עמידה בדרישות התוקפים, הנתונים השמורים יימחקו לצמיתות. זה גם מפרט את סוגי הנתונים השונים אליהם ניגשו התוקפים במהלך ההפרה.

כדי להתחיל את תהליך הפענוח, הקורבנות מקבלים הוראה ליצור קשר עם התוקפים ולשלם תשלום כופר. שיטת התקשורת המועדפת המצוינת בהערה היא באמצעות qTox, ומזהה qTox ספציפי מסופק לקורבנות. ההערה מזהירה מפורשות מפני יצירת קשר עם התוקפים באמצעות חברות מתווך אחרות, ומציעה כי התוקפים מעוניינים אך ורק להרוויח מהמצב ולמנוע כל מעורבות של צד שלישי.

מבחינת ההשלכות על אי ציות, מכתב הכופר עולה כי אם לא ייווצר קשר בתוך שלושה ימים, התוקפים יפרסמו קבצים לדוגמה כאמצעי ללחוץ על הקורבנות. יתר על כן, אם הקורבנות עדיין לא מצליחים ליצור קשר בתוך שבעה ימים, הפתק מאיים לשחרר את כל הקבצים המוצפנים לציבור. כדי לגשת למידע נוסף, מומלץ לקורבנות להשתמש בדפדפן Tor, הידוע בתכונות האנונימיות שלו.

נקח גישה רצינית לבטיחות המכשירים והנתונים שלך

משתמשים יכולים לאמץ מספר אמצעים כדי להגן ביעילות על המכשירים והנתונים שלהם מפני זיהומים של תוכנות כופר. ראשית, שמירה על תוכנת אבטחה מעודכנת וחסונה במכשירים שלהם היא חיונית. זה כולל שימוש בתוכנה אמינה נגד תוכנות זדוניות שיכולות לזהות ולחסום איומי כופר. בנוסף, שמירה על עדכון מערכת ההפעלה, היישומים והקושחה בתיקוני האבטחה והעדכונים החדשים ביותר חיונית כדי לטפל בכל נקודות תורפה שתוכנת כופר עשויה לנצל.

אמצעי מהותי נוסף הוא לנקוט זהירות וערנות בזמן גלישה באינטרנט ופתיחת קבצים מצורפים למייל. על המשתמשים להיזהר מהודעות דוא"ל חשודות, קישורים או קבצים מצורפים ממקורות לא ידועים, מכיוון שלעתים קרובות אלו יכולים לשמש כנקודות כניסה להדבקות בתוכנת כופר. מומלץ לבדוק את האותנטיות של מיילים וקבצים מצורפים לפני האינטראקציה איתם, במיוחד אם הם נראים חריגים או בלתי צפויים.

גיבוי קבוע של נתונים רלוונטיים הוא היבט מכריע בהגנה על תוכנות כופר. יצירת גיבויים לא מקוונים של קבצים נחוצים ואחסוןם במכשירים נפרדים או בפתרונות אחסון בענן עוזרים לוודא שניתן לשחזר נתונים במקרה של התקפת תוכנת כופר. חשוב לשמור על מספר עותקים של גיבויים ולהבטיח שהם מאוחסנים בצורה מאובטחת כדי למנוע גישה לא מורשית.

הפעלת אמצעי אבטחה נוספים כגון הגנת חומת אש, מערכות זיהוי חדירה והגבלת הרשאות משתמש יכולה ליצור שכבת הגנה נוספת מפני תוכנות כופר. הטמעת סיסמאות חזקות ובלעדיות והפעלת אימות דו-גורמי יכולים לסייע במניעת גישה לא מורשית למכשירים ולחשבונות.

הטקסט של פתק הכופר שנשלח על ידי RA Group Ransomware הוא: