RA Group Ransomware

RA Group Ransomware ir vērsta uz organizācijām, šifrējot ievērojamu daudzumu būtisku datu. Draudi arī maina ietekmēto failu sākotnējos nosaukumus. Katrs RA Group veikts uzbrukums var ietvert unikālu izpirkuma piezīmi, parasti ar nosaukumu “Kā atjaunot failus.txt”, kas, visticamāk, ir īpaši izstrādāta mērķa uzņēmumam vai organizācijai. Līdzīgi RA grupa var arī pievienot atšķirīgu paplašinājumu šifrēto failu nosaukumiem katram atšķirīgajam upurim.

Vienā apstiprinātā gadījumā RA Group Ransomware šifrētajiem failiem pievienoja paplašinājumu “.GAGUP”. Proti, RA grupas draudi ir pazīstami ar to, ka izmanto šifrēšanas procesu, kura pamatā ir bēdīgi slavenā Babuk Ransomware draudu nopludinātais avota kods. Babuk, izspiedējvīrusa operācija, kas savu darbību pārtrauca 2021. gadā, kalpoja par pamatu RA Group šifrēšanas metožu attīstībai.

RA Group Ransomware rada nopietnus draudus upuru datiem

Izpirkuma piezīme, kas adresēta RA Group Ransomware upuriem, sniedz skaidru vēstījumu, ka viņu dati ir šifrēti. Turklāt kibernoziedznieki apgalvo, ka uz viņu serveri ir izfiltrējuši visu apdraudēto datu kopijas, tādējādi uzbrukumu faktiski padarot par dubultas izspiešanas operāciju. Šādas metodes nodrošina, ka upuri izpildīs uzbrucēju prasības.

Tālāk piezīmē sniegts situācijas skaidrojums, uzsverot, ka uzbrucēji ir paņēmuši upuru datus un šifrējuši viņu serverus. Tas nodrošina upuriem, ka šifrētos failus var atšifrēt, kas nozīmē, ka pastāv iespēja atgūt viņu datus. Turklāt piezīmē teikts, ka pēc uzbrucēju prasību izpildes saglabātie dati tiks neatgriezeniski dzēsti. Tajā ir arī uzskaitīti dažāda veida dati, kuriem uzbrucēji ir piekļuvuši pārkāpuma laikā.

Lai uzsāktu atšifrēšanas procesu, cietušajiem tiek uzdots nodibināt kontaktu ar uzbrucējiem un veikt izpirkuma maksu. Piezīmē norādītā vēlamā saziņas metode ir qTox, un cietušajiem tiek nodrošināts īpašs qTox ID. Piezīme nepārprotami brīdina nesazināties ar uzbrucējiem ar citu starpnieku uzņēmumu starpniecību, liekot domāt, ka uzbrucēji ir tikai ieinteresēti gūt peļņu no situācijas un atturēt no jebkādas trešās puses iesaistīšanās.

Runājot par sekām par noteikumu neievērošanu, izpirkuma vēstulē norādīts, ka gadījumā, ja trīs dienu laikā kontakts netiks nodibināts, uzbrucēji publiskos failu paraugus, lai izdarītu spiedienu uz upuriem. Turklāt, ja cietušajiem joprojām neizdosies nodibināt kontaktu septiņu dienu laikā, piezīme draud ar visu šifrēto failu publiskošanu. Lai piekļūtu papildu informācijai, cietušajiem tiek ieteikts izmantot Tor Browser, kas ir pazīstama ar savām anonimitātes funkcijām.

Nopietni pievērsieties savu ierīču un datu drošībai

Lietotāji var veikt vairākus pasākumus, lai efektīvi aizsargātu savas ierīces un datus pret izspiedējvīrusu infekcijām. Pirmkārt, ir ļoti svarīgi savās ierīcēs uzturēt atjauninātu un stabilu drošības programmatūru. Tas ietver uzticamas pretļaunatūras programmatūras izmantošanu, kas var atklāt un bloķēt izspiedējvīrusu draudus. Turklāt operētājsistēmas, lietojumprogrammu un programmaparatūras atjaunināšana ar jaunākajiem drošības ielāpiem un atjauninājumiem ir būtiska, lai novērstu visas ievainojamības, ko var izmantot izspiedējprogrammatūra.

Vēl viens būtisks pasākums ir ievērot piesardzību un modrību, pārlūkojot internetu un atverot e-pasta pielikumus. Lietotājiem ir jāuzmanās no aizdomīgiem e-pastiem, saitēm vai pielikumiem no nezināmiem avotiem, jo tie bieži var kalpot kā ieejas punkti izspiedējvīrusu infekcijām. Pirms mijiedarbības ar tiem ieteicams pārbaudīt e-pasta ziņojumu un pielikumu autentiskumu, īpaši, ja tie šķiet neparasti vai negaidīti.

Regulāra attiecīgo datu dublēšana ir būtisks aizsardzības pret izspiedējvīrusu programmatūras aspekts. Nepieciešamo failu bezsaistes dublējumkopiju izveide un glabāšana atsevišķās ierīcēs vai mākoņkrātuves risinājumos palīdz nodrošināt datu atgūšanu izspiedējvīrusa uzbrukuma gadījumā. Ir svarīgi saglabāt vairākas dublējumu kopijas un nodrošināt to drošu glabāšanu, lai novērstu nesankcionētu piekļuvi.

Iespējojot papildu drošības pasākumus, piemēram, ugunsmūra aizsardzību, ielaušanās atklāšanas sistēmas un lietotāju privilēģiju ierobežošanu, var izveidot papildu aizsardzības līmeni pret izspiedējvīrusu programmatūru. Spēcīgu, ekskluzīvu paroļu ieviešana un divu faktoru autentifikācijas iespējošana var palīdzēt novērst nesankcionētu piekļuvi ierīcēm un kontiem.

RA Group Ransomware nomestās izpirkuma naudas teksts ir šāds:

'# RA Group

----

## Notification

Your data has been encrypted when you read this letter.

We have copied all data to our server.

But don't worry, your data will not be compromised or made public if you do what I want.

## What did we do?

We took your data and encrypted your servers, encrypted files can be decrypted.

We had saved your data properly, we will delete the saved data if you meet our requirements.

We took the following data:

Documents

supplier information

customer Information, Payment Information

employee Information, Payroll

accounting

sales tax

financial Statements

financial annual report, quarterly report

CONTRACT

business Plan

contract

invoices

vtex info

employee internal email backup

## What we want?

Contact us, pay for decryption.

## How contact us?

We use qTox to contact, you can get more information from qTox office website:

hxxps://qtox.github.io

Our qTox ID is:

7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06

We have no other contact.

If there is no contact within 3 days, we will make sample files public.

If there is no contact within 7 days, we will make the file public.

## Recommend

Do not contact us through other companies, they just earn the difference.

## Information release

Sample files:

All files:

You can use Tor Browser to open .onion url.

Ger more information from Tor office webshite:

hxxps://www.torproject.org'