RA Group-ransomware
De RA Group Ransomware richt zich op organisaties door een aanzienlijke hoeveelheid essentiële gegevens te versleutelen. De dreiging wijzigt ook de oorspronkelijke namen van de getroffen bestanden. Elke aanval die door de RA Group wordt uitgevoerd, kan een unieke losgeldbrief bevatten, meestal 'How To Restore Your Files.txt' genaamd, die waarschijnlijk specifiek is gemaakt voor het beoogde bedrijf of de organisatie. Evenzo kan de RA Group voor elk afzonderlijk slachtoffer een andere extensie toevoegen aan de bestandsnamen van versleutelde bestanden.
In één bevestigd geval heeft de RA Group Ransomware de extensie '.GAGUP' toegevoegd aan de versleutelde bestanden. Met name de RA Group-dreiging staat bekend om het gebruik van een coderingsproces op basis van de gelekte broncode van de beruchte Babuk Ransomware- dreiging. Babuk, een ransomware-operatie die in 2021 stopte met zijn activiteiten, diende als basis voor de ontwikkeling van de versleutelingstechnieken van de RA Group.
De RA Group Ransomware vormt een ernstig gevaar voor de gegevens van slachtoffers
De losgeldbrief, gericht aan de slachtoffers van de RA Group Ransomware, geeft een duidelijke boodschap af dat hun gegevens versleuteld zijn. Bovendien beweren de cybercriminelen dat ze kopieën van alle gecompromitteerde gegevens naar hun server hebben geëxfiltreerd, waardoor de aanval in feite een dubbele afpersingsoperatie wordt. Dergelijke methoden zorgen ervoor dat de slachtoffers zullen voldoen aan de eisen van de aanvallers.
De notitie geeft verder een uitleg van de situatie en benadrukt dat de aanvallers de gegevens van de slachtoffers hebben buitgemaakt en hun servers hebben versleuteld. Het verzekert de slachtoffers dat de versleutelde bestanden kunnen worden ontsleuteld, wat impliceert dat er een mogelijkheid is om hun gegevens te herstellen. Bovendien stelt de notitie dat zodra aan de eisen van de aanvallers is voldaan, de opgeslagen gegevens permanent zullen worden verwijderd. Het geeft ook een overzicht van de verschillende soorten gegevens waartoe de aanvallers toegang hebben gehad tijdens de inbreuk.
Om het decoderingsproces op gang te brengen, krijgen de slachtoffers de opdracht om contact op te nemen met de aanvallers en losgeld te betalen. De geprefereerde communicatiemethode die in de notitie wordt gespecificeerd, is via qTox en een specifieke qTox-ID wordt aan de slachtoffers verstrekt. De notitie waarschuwt expliciet tegen het contacteren van de aanvallers via andere tussenbedrijven, wat suggereert dat de aanvallers alleen geïnteresseerd zijn in het profiteren van de situatie en het ontmoedigen van betrokkenheid van derden.
In termen van gevolgen voor niet-naleving geeft de losgeldbrief aan dat als er binnen drie dagen geen contact tot stand wordt gebracht, de aanvallers voorbeeldbestanden openbaar zullen maken om druk uit te oefenen op de slachtoffers. Als de slachtoffers er bovendien niet in slagen om binnen zeven dagen contact op te nemen, dreigt de notitie alle versleutelde bestanden openbaar te maken. Om toegang te krijgen tot aanvullende informatie, wordt de slachtoffers geadviseerd om de Tor Browser te gebruiken, die bekend staat om zijn anonimiteitsfuncties.
Ga serieus om met de veiligheid van uw apparaten en gegevens
Gebruikers kunnen verschillende maatregelen nemen om hun apparaten en gegevens effectief te beschermen tegen ransomware-infecties. Ten eerste is het cruciaal om up-to-date en robuuste beveiligingssoftware op hun apparaten te houden. Dit omvat het gebruik van betrouwbare antimalwaresoftware die ransomwarebedreigingen kan detecteren en blokkeren. Bovendien is het van essentieel belang om het besturingssysteem, de toepassingen en de firmware up-to-date te houden met de nieuwste beveiligingspatches en -updates om eventuele kwetsbaarheden die ransomware kan misbruiken, aan te pakken.
Een andere fundamentele maatregel is om voorzichtig en waakzaam te zijn tijdens het surfen op internet en het openen van e-mailbijlagen. Gebruikers moeten op hun hoede zijn voor verdachte e-mails, links of bijlagen van onbekende bronnen, aangezien deze vaak kunnen dienen als toegangspoorten voor ransomware-infecties. Het is raadzaam om de authenticiteit van e-mails en bijlagen te controleren voordat u ermee omgaat, vooral als ze ongebruikelijk of onverwacht lijken.
Het regelmatig maken van back-ups van relevante gegevens is een cruciaal aspect van de bescherming tegen ransomware. Door offline back-ups te maken van de benodigde bestanden en deze op afzonderlijke apparaten of cloudopslagoplossingen op te slaan, kunt u ervoor zorgen dat gegevens kunnen worden hersteld in het geval van een ransomware-aanval. Het is belangrijk om meerdere kopieën van back-ups bij te houden en ervoor te zorgen dat ze veilig worden opgeslagen om ongeoorloofde toegang te voorkomen.
Het inschakelen van aanvullende beveiligingsmaatregelen, zoals firewallbescherming, systemen voor inbraakdetectie en het beperken van gebruikersrechten, kan een extra verdedigingslaag tegen ransomware creëren. Het implementeren van sterke, exclusieve wachtwoorden en het inschakelen van tweefactorauthenticatie kan ongeautoriseerde toegang tot apparaten en accounts helpen voorkomen.
De tekst van de losgeldbrief van RA Group Ransomware is:
'# RA Group
----
## Notification
Your data has been encrypted when you read this letter.
We have copied all data to our server.
But don't worry, your data will not be compromised or made public if you do what I want.
## What did we do?
We took your data and encrypted your servers, encrypted files can be decrypted.
We had saved your data properly, we will delete the saved data if you meet our requirements.
We took the following data:
Documents
supplier information
customer Information, Payment Information
employee Information, Payroll
accounting
sales tax
financial Statements
financial annual report, quarterly report
CONTRACT
business Plan
contract
invoices
vtex info
employee internal email backup
## What we want?
Contact us, pay for decryption.
## How contact us?
We use qTox to contact, you can get more information from qTox office website:
hxxps://qtox.github.io
Our qTox ID is:
7B7AC445617DAF85ABDCF35595030D4A62F1662BF284A6AE92466DF179AE6557795AC1E5BA06
We have no other contact.
If there is no contact within 3 days, we will make sample files public.
If there is no contact within 7 days, we will make the file public.
## Recommend
Do not contact us through other companies, they just earn the difference.
## Information release
Sample files:
All files:
You can use Tor Browser to open .onion url.
Ger more information from Tor office webshite:
hxxps://www.torproject.org'
