RA Group Ransomware
Ransomware Kumpulan RA menyasarkan organisasi dengan menyulitkan sejumlah besar data penting. Ancaman itu juga mengubah suai nama asal fail yang terjejas. Setiap serangan yang dilakukan oleh Kumpulan RA mungkin melibatkan nota tebusan yang unik, biasanya dinamakan 'Cara Memulihkan Fail.txt Anda,' yang mungkin direka khusus untuk syarikat atau organisasi yang disasarkan. Begitu juga, Kumpulan RA juga boleh menambahkan sambungan yang berbeza pada nama fail fail yang disulitkan untuk setiap mangsa yang berbeza.
Dalam satu contoh yang disahkan, RA Group Ransomware menambahkan sambungan '.GAGUP' pada fail yang disulitkan. Terutama, ancaman Kumpulan RA terkenal kerana menggunakan proses penyulitan berdasarkan kod sumber bocor ancaman Babuk Ransomware yang terkenal. Babuk, operasi perisian tebusan yang menghentikan aktivitinya pada 2021, berfungsi sebagai asas untuk pembangunan teknik penyulitan Kumpulan RA.
Perisian Ransomware Kumpulan RA Menimbulkan Bahaya Serius kepada Data Mangsa
Nota tebusan, yang ditujukan kepada mangsa Ransomware Kumpulan RA, menyampaikan mesej yang jelas bahawa data mereka telah disulitkan. Di samping itu, penjenayah siber mendakwa telah mengeksfiltrasi salinan semua data yang dikompromi ke pelayan mereka, dengan berkesan menjadikan serangan itu sebagai operasi pemerasan dua kali. Kaedah sedemikian memastikan mangsa akan mematuhi tuntutan penyerang.
Nota itu seterusnya memberikan penjelasan tentang situasi itu, menekankan bahawa penyerang telah mengambil data mangsa dan menyulitkan pelayan mereka. Ia memberi jaminan kepada mangsa bahawa fail yang disulitkan boleh dinyahsulit, membayangkan bahawa terdapat kemungkinan untuk memulihkan data mereka. Tambahan pula, nota tersebut menyatakan bahawa sebaik sahaja keperluan penyerang dipenuhi, data yang disimpan akan dipadamkan secara kekal. Ia juga menyenaraikan pelbagai jenis data yang telah diakses oleh penyerang semasa pelanggaran.
Untuk memulakan proses penyahsulitan, mangsa diarahkan untuk menjalin hubungan dengan penyerang dan membuat pembayaran tebusan. Kaedah komunikasi pilihan yang dinyatakan dalam nota adalah melalui qTox, dan ID qTox khusus diberikan kepada mangsa. Nota itu secara jelas memberi amaran supaya tidak menghubungi penyerang melalui syarikat perantara lain, menunjukkan bahawa penyerang hanya berminat untuk mengaut keuntungan daripada situasi tersebut dan tidak menggalakkan sebarang penglibatan pihak ketiga.
Dari segi akibat bagi ketidakpatuhan, nota tebusan menunjukkan bahawa jika tiada hubungan diwujudkan dalam tempoh tiga hari, penyerang akan membuat fail sampel awam sebagai cara untuk menekan mangsa. Tambahan pula, jika mangsa masih gagal menjalin hubungan dalam masa tujuh hari, nota itu mengancam untuk melepaskan semua fail yang disulitkan secara terbuka. Untuk mengakses maklumat tambahan, mangsa dinasihatkan untuk menggunakan Penyemak Imbas Tor, yang terkenal dengan ciri tanpa nama.
Ambil Pendekatan Serius Terhadap Keselamatan Peranti dan Data Anda
Pengguna boleh menggunakan beberapa langkah untuk melindungi peranti dan data mereka daripada jangkitan ransomware dengan berkesan. Pertama, mengekalkan perisian keselamatan yang terkini dan teguh pada peranti mereka adalah penting. Ini termasuk menggunakan perisian anti-malware yang boleh dipercayai yang boleh mengesan dan menyekat ancaman ransomware. Selain itu, memastikan sistem pengendalian, aplikasi dan perisian tegar dikemas kini dengan tampung dan kemas kini keselamatan terbaharu adalah penting untuk menangani sebarang kelemahan yang mungkin dieksploitasi oleh perisian tebusan.
Satu lagi langkah asas ialah berhati-hati dan berwaspada semasa melayari Internet dan membuka lampiran e-mel. Pengguna harus berhati-hati dengan e-mel, pautan atau lampiran yang mencurigakan daripada sumber yang tidak diketahui, kerana ini selalunya boleh menjadi titik masuk untuk jangkitan ransomware. Adalah dinasihatkan untuk menyemak ketulenan e-mel dan lampiran sebelum berinteraksi dengannya, terutamanya jika ia kelihatan luar biasa atau tidak dijangka.
Menyandarkan data yang berkaitan dengan kerap adalah aspek penting dalam perlindungan perisian tebusan. Mencipta sandaran luar talian bagi fail yang diperlukan dan menyimpannya pada peranti berasingan atau penyelesaian storan awan membantu memastikan data boleh dipulihkan sekiranya berlaku serangan perisian tebusan. Adalah penting untuk mengekalkan berbilang salinan sandaran dan memastikan ia disimpan dengan selamat untuk mengelakkan capaian yang tidak dibenarkan.
Mendayakan langkah keselamatan tambahan seperti perlindungan tembok api, sistem pengesanan pencerobohan dan menyekat keistimewaan pengguna boleh mencipta lapisan pertahanan tambahan terhadap perisian tebusan. Melaksanakan kata laluan yang kukuh dan eksklusif dan mendayakan pengesahan dua faktor boleh membantu menghalang akses tanpa kebenaran kepada peranti dan akaun.
Teks nota tebusan yang digugurkan oleh RA Group Ransomware ialah:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
