RA Group Ransomware

RA Group Ransomware는 상당한 양의 필수 데이터를 암호화하여 조직을 표적으로 삼습니다. 이 위협 요소는 영향을 받는 파일의 원래 이름도 수정합니다. RA 그룹이 수행하는 각 공격에는 일반적으로 'How To Restore Your Files.txt'라는 이름의 고유한 랜섬 노트가 포함될 수 있으며, 이는 대상 회사나 조직을 위해 특별히 제작되었을 가능성이 있습니다. 마찬가지로 RA 그룹은 서로 다른 피해자마다 암호화된 파일의 파일 이름에 다른 확장자를 추가할 수도 있습니다.

확인된 한 사례에서 RA Group 랜섬웨어는 암호화된 파일에 '.GAGUP' 확장자를 추가했습니다. 특히 RA Group 위협은 악명 높은 Babuk 랜섬웨어 위협의 유출된 소스 코드를 기반으로 암호화 프로세스를 활용하는 것으로 알려져 있습니다. 2021년 활동을 중단한 랜섬웨어 작전인 Babuk은 RA Group의 암호화 기술 개발의 기반이 되었습니다.

RA Group 랜섬웨어, 피해자 데이터에 심각한 위험 초래

RA Group Ransomware의 피해자에게 보내는 랜섬 노트는 그들의 데이터가 암호화되었다는 명확한 메시지를 전달합니다. 또한 사이버 범죄자는 손상된 모든 데이터의 복사본을 서버로 유출했다고 주장하여 공격을 효과적으로 이중 갈취 작업으로 만듭니다. 이러한 방법은 피해자가 공격자의 요구를 준수하도록 합니다.

이 메모는 공격자가 피해자의 데이터를 가져가 서버를 암호화했음을 강조하면서 상황에 대한 설명을 제공합니다. 피해자에게 암호화된 파일을 해독할 수 있음을 보장하여 데이터를 복구할 가능성이 있음을 암시합니다. 또한 메모에는 공격자의 요구 사항이 충족되면 저장된 데이터가 영구적으로 삭제된다고 명시되어 있습니다. 또한 공격자가 위반 중에 액세스한 다양한 유형의 데이터를 나열합니다.

암호 해독 프로세스를 시작하기 위해 피해자는 공격자와 연락을 취하고 몸값을 지불하라는 지시를 받습니다. 메모에 명시된 선호하는 통신 방법은 qTox를 통한 것이며 특정 qTox ID는 피해자에게 제공됩니다. 이 메모는 다른 중개 회사를 통해 공격자와 접촉하는 것에 대해 명시적으로 경고하며 공격자는 상황에서 이익을 얻고 제3자의 개입을 막는 데만 관심이 있음을 시사합니다.

비준수에 대한 결과 측면에서 랜섬 노트는 3일 이내에 연락이 이루어지지 않으면 공격자가 피해자를 압박하는 수단으로 샘플 파일을 공개할 것임을 나타냅니다. 또한 피해자가 7일 이내에 연락을 취하지 않으면 암호화된 모든 파일을 공개하겠다고 위협합니다. 추가 정보에 액세스하려면 익명 기능으로 알려진 Tor 브라우저를 사용하는 것이 좋습니다.

장치 및 데이터의 안전을 위해 진지하게 접근하십시오.

사용자는 장치와 데이터를 랜섬웨어 감염으로부터 효과적으로 보호하기 위해 여러 조치를 채택할 수 있습니다. 첫째, 장치에 강력한 최신 보안 소프트웨어를 유지하는 것이 중요합니다. 여기에는 랜섬웨어 위협을 감지하고 차단할 수 있는 신뢰할 수 있는 맬웨어 방지 소프트웨어 사용이 포함됩니다. 또한 최신 보안 패치 및 업데이트로 운영 체제, 애플리케이션 및 펌웨어를 최신 상태로 유지하는 것은 랜섬웨어가 악용할 수 있는 모든 취약성을 해결하는 데 필수적입니다.

또 다른 근본적인 조치는 인터넷을 탐색하고 이메일 첨부 파일을 여는 동안 주의와 경계를 행사하는 것입니다. 사용자는 출처를 알 수 없는 의심스러운 이메일, 링크 또는 첨부 파일에 주의해야 합니다. 이는 종종 랜섬웨어 감염의 진입점이 될 수 있기 때문입니다. 이메일 및 첨부 파일과 상호 작용하기 전에, 특히 비정상적이거나 예상치 못한 것으로 보이는 경우 이메일 및 첨부 파일의 진위를 확인하는 것이 좋습니다.

관련 데이터를 정기적으로 백업하는 것은 랜섬웨어 보호의 중요한 측면입니다. 필요한 파일의 오프라인 백업을 생성하고 별도의 장치 또는 클라우드 스토리지 솔루션에 저장하면 랜섬웨어 공격 시 데이터를 복구할 수 있습니다. 여러 개의 백업 복사본을 유지하고 무단 액세스를 방지하기 위해 안전하게 저장하는 것이 중요합니다.

방화벽 보호, 침입 탐지 시스템 및 사용자 권한 제한과 같은 추가 보안 조치를 활성화하면 랜섬웨어에 대한 추가 방어 계층을 생성할 수 있습니다. 강력하고 배타적인 암호를 구현하고 2단계 인증을 활성화하면 장치 및 계정에 대한 무단 액세스를 방지할 수 있습니다.

RA Group Ransomware가 드롭한 랜섬 노트의 텍스트는 다음과 같습니다.

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'