RA Group Ransomware

RA Group Ransomware taikosi į organizacijas šifruodama didelį kiekį esminių duomenų. Grėsmė taip pat pakeičia pirminius paveiktų failų pavadinimus. Kiekviena RA grupės įvykdyta ataka gali apimti unikalų išpirkos raštą, paprastai pavadintą „Kaip atkurti failus.txt“, kuris greičiausiai bus specialiai sukurtas tikslinei įmonei ar organizacijai. Panašiai RA grupė gali pridėti skirtingą plėtinį prie šifruotų failų pavadinimų kiekvienai kitai aukai.

Vienu patvirtintu atveju „RA Group Ransomware“ prie užšifruotų failų pridėjo plėtinį „.GAGUP“. Pažymėtina, kad RA grupės grėsmė yra žinoma dėl to, kad naudoja šifravimo procesą, pagrįstą nutekėjusiu žinomos Babuk Ransomware grėsmės šaltinio kodu. 2021 m. veiklą nutraukusi ransomware operacija Babuk buvo RA grupės šifravimo metodų kūrimo pagrindas.

RA Group Ransomware kelia rimtą pavojų aukų duomenims

Išpirkos raštas, skirtas RA Group Ransomware aukoms, aiškiai praneša, kad jų duomenys buvo užšifruoti. Be to, kibernetiniai nusikaltėliai teigia išfiltravę visų pažeistų duomenų kopijas į savo serverį, todėl ataka iš esmės tapo dvigubo turto prievartavimo operacija. Tokie metodai užtikrina, kad aukos vykdys užpuolikų reikalavimus.

Toliau rašte paaiškinama situacija, pabrėžiama, kad užpuolikai paėmė aukų duomenis ir užšifravo jų serverius. Ji užtikrina aukas, kad užšifruotus failus galima iššifruoti, o tai reiškia, kad yra galimybė atkurti jų duomenis. Be to, pastaboje teigiama, kad įvykdžius užpuolikų reikalavimus, išsaugoti duomenys bus visam laikui ištrinti. Jame taip pat pateikiami įvairių tipų duomenys, kuriuos užpuolikai pasiekė pažeidimo metu.

Norint pradėti iššifravimo procesą, aukoms nurodoma užmegzti ryšį su užpuolikais ir sumokėti išpirką. Pastaboje nurodytas pageidaujamas ryšio būdas yra per qTox, o aukoms suteikiamas konkretus qTox ID. Pastaboje aiškiai įspėjama nesikreipti į užpuolikus per kitas tarpines įmones, o tai rodo, kad užpuolikai yra suinteresuoti tik pasipelnyti iš situacijos ir atgrasyti nuo bet kokio trečiųjų šalių įsitraukimo.

Kalbant apie pasekmes už įsipareigojimų nevykdymą, išpirkos rašte nurodoma, kad jei per tris dienas nebus užmegztas kontaktas, užpuolikai paviešins bylų pavyzdžius, kad padarytų spaudimą aukoms. Be to, jei aukoms vis tiek nepavyks užmegzti ryšio per septynias dienas, raštelyje grasinama viešai paskelbti visus užšifruotus failus. Norėdami gauti papildomos informacijos, aukoms patariama naudoti "Tor" naršyklę, kuri yra žinoma dėl savo anonimiškumo.

Imkitės rimto požiūrio į savo įrenginių ir duomenų saugumą

Vartotojai gali imtis kelių priemonių, kad apsaugotų savo įrenginius ir duomenis nuo ransomware infekcijų. Pirma, labai svarbu išlaikyti naujausią ir patikimą saugos programinę įrangą savo įrenginiuose. Tai apima patikimos apsaugos nuo kenkėjiškų programų programinės įrangos, kuri gali aptikti ir blokuoti išpirkos reikalaujančias programas, naudojimą. Be to, norint pašalinti pažeidžiamumą, kurį gali išnaudoti išpirkos reikalaujančios programos, būtina nuolat atnaujinti operacinę sistemą, programas ir programinę įrangą naudojant naujausius saugos pataisymus ir naujinimus.

Kita esminė priemonė – būti atsargiems ir budriems naršant internete ir atidarant el. pašto priedus. Naudotojai turėtų būti atsargūs dėl įtartinų el. laiškų, nuorodų ar priedų iš nežinomų šaltinių, nes jie dažnai gali būti išpirkos reikalaujančių programų įėjimo taškai. Laiškų ir priedų autentiškumą patartina patikrinti prieš su jais bendraujant, ypač jei jie atrodo neįprasti ar netikėti.

Reguliarus atitinkamų duomenų atsarginių kopijų kūrimas yra esminis apsaugos nuo išpirkos programų aspektas. Būtinų failų atsarginių kopijų kūrimas neprisijungus ir jų saugojimas atskiruose įrenginiuose ar debesies saugyklos sprendimuose padeda užtikrinti, kad duomenis bus galima atkurti išpirkos reikalaujančios programos atakos atveju. Svarbu turėti kelias atsarginių kopijų kopijas ir užtikrinti, kad jos būtų saugiai saugomos, kad būtų išvengta neteisėtos prieigos.

Įjungus papildomas saugos priemones, tokias kaip ugniasienės apsauga, įsibrovimo aptikimo sistemos ir vartotojų teisių apribojimas, gali būti sukurtas papildomas apsaugos nuo išpirkos reikalaujančių programų sluoksnis. Stiprių, išskirtinių slaptažodžių įdiegimas ir dviejų veiksnių autentifikavimo įgalinimas gali padėti išvengti neteisėtos prieigos prie įrenginių ir paskyrų.

RA Group Ransomware numesto išpirkos rašto tekstas yra toks:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'