RA Group Ransomware

Ransomware grupe RA cilja na organizacije šifriranjem značajne količine bitnih podataka. Prijetnja također mijenja izvorne nazive zahvaćenih datoteka. Svaki napad koji izvodi Grupa RA može uključivati jedinstvenu poruku o otkupnini, obično nazvanu "Kako vratiti vaše datoteke.txt", koja će vjerojatno biti posebno izrađena za ciljanu tvrtku ili organizaciju. Slično tome, RA Group također može dodati različite ekstenzije nazivima šifriranih datoteka za svaku drugu žrtvu.

U jednom potvrđenom slučaju, RA Group Ransomware dodao je ekstenziju '.GAGUP' šifriranim datotekama. Naime, prijetnja RA Group poznata je po korištenju procesa šifriranja temeljenog na procurjelom izvornom kodu ozloglašene prijetnje Babuk Ransomware . Babuk, ransomware operacija koja je prestala s radom 2021., poslužila je kao temelj za razvoj tehnika enkripcije Grupe RA.

Ransomware grupe RA predstavlja ozbiljnu opasnost za podatke o žrtvama

Obavijest o otkupnini, upućena žrtvama RA Group Ransomwarea, daje jasnu poruku da su njihovi podaci šifrirani. Osim toga, kibernetički kriminalci tvrde da su eksfiltrirali kopije svih kompromitiranih podataka na svoj poslužitelj, čime je napad zapravo operacija dvostrukog iznuđivanja. Takve metode osiguravaju da će žrtve udovoljiti zahtjevima napadača.

Bilješka dalje daje objašnjenje situacije, naglašavajući da su napadači uzeli podatke žrtava i kriptirali njihove servere. Uvjerava žrtve da se šifrirane datoteke mogu dekriptirati, što implicira da postoji mogućnost oporavka njihovih podataka. Nadalje, u bilješci se navodi da će nakon ispunjavanja zahtjeva napadača spremljeni podaci biti trajno izbrisani. Također navodi različite vrste podataka kojima su napadači pristupili tijekom provale.

Kako bi se pokrenuo proces dešifriranja, žrtve dobivaju upute da uspostave kontakt s napadačima i izvrše plaćanje otkupnine. Preferirana metoda komunikacije navedena u bilješci je putem qToxa, a žrtvama se daje poseban qTox ID. Bilješka izričito upozorava na kontaktiranje napadača preko drugih posredničkih tvrtki, sugerirajući da su napadači isključivo zainteresirani za profitiranje od situacije i obeshrabrujući bilo kakvo uključivanje treće strane.

Što se tiče posljedica za nepridržavanje, poruka o otkupnini pokazuje da će napadači, ako se ne uspostavi kontakt u roku od tri dana, javno objaviti uzorke datoteka kao sredstvo pritiska na žrtve. Nadalje, ako žrtve i dalje ne uspiju uspostaviti kontakt u roku od sedam dana, poruka prijeti javnom objavom svih šifriranih datoteka. Za pristup dodatnim informacijama, žrtvama se savjetuje da koriste Tor Browser, koji je poznat po svojim značajkama anonimnosti.

Zauzmite ozbiljan pristup sigurnosti svojih uređaja i podataka

Korisnici mogu usvojiti nekoliko mjera za učinkovitu zaštitu svojih uređaja i podataka od infekcija ransomwareom. Prvo, ključno je održavanje ažurnog i robusnog sigurnosnog softvera na njihovim uređajima. To uključuje korištenje pouzdanog anti-malware softvera koji može otkriti i blokirati prijetnje ransomwarea. Osim toga, održavanje operativnog sustava, aplikacija i firmvera ažuriranim najnovijim sigurnosnim zakrpama i ažuriranjima ključno je za rješavanje svih ranjivosti koje ransomware može iskoristiti.

Još jedna temeljna mjera je oprez i budnost tijekom pregledavanja interneta i otvaranja privitaka e-pošte. Korisnici bi trebali biti oprezni sa sumnjivim e-porukama, poveznicama ili privicima iz nepoznatih izvora jer oni često mogu poslužiti kao ulazne točke za infekcije ransomwareom. Preporučljivo je provjeriti autentičnost e-poruka i privitaka prije interakcije s njima, osobito ako se čine neobičnim ili neočekivanim.

Redovito sigurnosno kopiranje relevantnih podataka ključni je aspekt zaštite od ransomwarea. Stvaranje izvanmrežnih sigurnosnih kopija potrebnih datoteka i njihovo pohranjivanje na zasebne uređaje ili rješenja za pohranu u oblaku pomaže da se podaci mogu oporaviti u slučaju napada ransomwarea. Važno je održavati više kopija sigurnosnih kopija i osigurati da su sigurno pohranjene kako bi se spriječio neovlašteni pristup.

Omogućavanje dodatnih sigurnosnih mjera kao što su zaštita vatrozidom, sustavi za otkrivanje upada i ograničavanje korisničkih privilegija može stvoriti dodatni sloj obrane od ransomwarea. Implementacija jakih, ekskluzivnih lozinki i omogućavanje dvofaktorske autentifikacije može spriječiti neovlašteni pristup uređajima i računima.

Tekst poruke o otkupnini koju je izbacio RA Group Ransomware je:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'